SlideShare una empresa de Scribd logo
1 de 73
Descargar para leer sin conexión
Page 1 sur 73
Mémoire de Master 2 - Propriété intellectuelle et droit des affaires numériques
L’opportunité d’une révision de la directive 96/9/CE sur la protection
juridique des bases de données dans le cadre de la construction d’une
économie Européenne de la donnée.
Réalisé par Sidy Juste, dans le cadre de la formation continue.
Sous la direction de Madame le Professeur Célia Zolynski et Maître Florence
Gaullier.
Ce mémoire a fait l’objet d’une soutenance en juillet 2018, le jury universitaire
lui a attribué la note de 15/20.
À jour de la dernière évaluation de la directive 96/9/CE publiée le 25 avril 2018.
Année Universitaire 2017-2018
Page 2 sur 73
Tables des matières
Introduction…………………...……………………………………………………………………… 5
PARTIE I – L’ÉCONOMIE EUROPÉENNE DE LA DONNÉE : UN NOUVEL
ENJEU NÉCESSITANT UNE RÉVISION DE LA DIRECTIVE 96/9/CE…………. 11
Chapitre I – La relative inadéquation de la directive face à l’émergence de l’économie fondée sur la
donnée....................................................................................................................................................... 11
Section 1 – Les objectifs et le régime de la directive confrontés au nouvel écosystème de la data……. 12
A) - La désuétude de l’objectif d’encouragement à la création de bases de données………………...... 12
B) - La perte de pertinence du concept de bases de données statiques à l’ère du Big data…………..... 13
C) - Le droit sui generis : un obstacle aux nouvelles techniques du Big data…………………………. 15
Section 2 – Le champ d’application restreint du droit sui generis dans l’économie fondée sur la
donnée…………………………………………………………………………………………............... 18
A) - La qualification juridique des données générées par des machines (M2M) : distinction « données
créées » / « données obtenues » …………………………………………………...…………...…..…... 18
B) - Le critère discriminant de « l’investissement substantiel » dans le cadre des données générées par
des machines………………………………………………………………...………………………….. 20
Chapitre II – Une inadéquation qui constitue une entrave au développement de l’économie européenne
de la donnée………………………………………………..…………………………………………… 21
Section 1 – Les incertitudes émaillant le cadre réglementaire relatif aux données générées par des
machines : sources d’insécurité juridique……………………………...……………………………….. 21
A) - Incertitudes dans les situations encore couvertes par le droit sui generis......................................... 22
B) - L’absence de cadre juridique harmonisé………………………………..………………………..... 25
Page 3 sur 73
Section 2 – L’inefficience de la réglementation, vecteur de stratégies de rétention de données (lock-
in)…………………………………………………………………………………………………......… 27
A) - Le contrat : support juridique des stratégies de « lock-in » traduisant des asymétries entre
acteurs…………………………………………………………………………………………………... 27
B) - Les limites du droit contractuel………………………………………………………..………….. 39
C) - Les mesures techniques de protection : restriction technique de l’accès aux données……....……. 31
PARTIE II – UNE RÉVISION DE LA DIRECTIVE S’INSCRIVANT DANS LA
PROMOTION D’UNE LIBERTÉ DE CIRCULATION DES DONNÉES………….. 33
Chapitre I – Penser les instruments pour une meilleure adaptation de la directive avec le caractère fluide
et dynamique de la donnée……………………………………………………………………............... 34
Section 1 – Les ajustements nécessaires du droit sui generis………………………………………....... 35
A) - La promotion d’une approche « fonctionnelle » du droit sui generis…………………………….. 35
B) - La nécessaire clarification de la portée et du champ d’application du droit sui generis dans le cadre
des données M2M…………………………………………………………………………….….......…..38
C) - La nécessaire clarification de la titularité du droit sui generis dans l’économie fondée sur les
données…………………………………………………………………………………………………. 40
Section 2 – la révision du régime des exceptions et limitations……………………………………....... 43
A) - La consécration d’une exception pour la fouille de textes et de données (Text & data mining)...... 43
B) - Les droits de l’utilisateur légitime : consécration d’un droit d’extraction et réutilisation de parties
substantielles………………………………………………………………………...……………..…… 46
C) - Mise en conformité des bases de données détenues par des personnes publiques en application de la
directive « PSI » et des politiques d’Open data………………………………………………………. . 48
Page 4 sur 73
Section 3 – La création d’un nouveau droit des « producteurs de données » : une solution contraire aux
objectifs de libre circulation des données…………………………………………...…………………. 50
A) - La complexification du droit applicable aux données industrielles : conséquence probable de la
consécration d’une approche propriétaire des données industrielles………………………………..….. 50
B) - La non pertinence d’un nouveau droit de propriété intellectuelle à l’heure du Big data………….. 53
Chapitre II – Une politique générale offensive pour l’accès et la mutualisation des données
industrielles…………………………………………………………………………………………….. 54
Section 1 – L’adoption d’instruments juridiques contraignants favorisant l’accès aux données au niveau
sectoriel………………………………………………………………………………………………… 55
A) - Obligations de mise à disposition sous licences non discriminatoires des « données en tant
qu’infrastructures »…………………………………………………………………….……………….. 56
B) - Mise en place de clauses contractuelles types de la Commission européenne encadrant l’accès et la
réutilisation des données……………………………………………………………………….……….. 68
C) - Mise en place de règles d’entreprise contraignantes (BCR) assurant l’effectivité de l’accès aux
données………………………………………………………………………………………………… 60
Section 2 – La mise en place d’instruments juridiques non contraignants d’incitation au partage de
données………………………………………………………………………………………………… 61
A) - L’adoption d’une Recommandation (UE) de la Commission européenne sur les modalités de
partage de données dans le cadre de grands projets européens…………………………...………..…... 62
B) - L’expérimentation de politiques publiques sectorielles de partage de données sur le modèle de l’US
Bureau of Transportations…………………………………………………………………………..…. 64
Conclusion…………………………………………………………………………………...……… 66
Page 5 sur 73
INTRODUCTION
« Aujourd'hui, la véritable richesse n'est pas concrète, elle est abstraite. Elle n'est pas
matérielle, elle est immatérielle. C'est désormais la capacité à innover, à créer des concepts et à
produire des idées qui est devenue l'avantage compétitif essentiel. Au capital matériel a succédé, dans
les critères essentiels de dynamisme économique, le capital immatériel ou, pour le dire autrement, le
capital des talents, de la connaissance, du savoir1
».
C’était il y a douze ans, Maurice Lévy et Jean-Pierre Jouyet s’interrogeaient déjà sur la
« croissance de demain2
», qui serait portée par l’économie de l’immatériel. Aujourd’hui, nous y
sommes. Nos sociétés vivent de profondes mutations à l’heure de la transformation numérique.
L’économie dans son ensemble, tend à être guidée par les données.
1 - L’ère de l’économie numérique est caractérisée par une croissance exponentielle de la
création de données et des nouvelles technologies qui permettent de les traiter et de les exploiter.
Elles permettent de les enrichir et d’en retirer l’information la plus pertinente possible. Cette
information, toujours plus riche et plus rapidement disponible (voir disponible en temps réel),
augmente la vitesse et l’ampleur du renouvellement de la connaissance au sein de l’économie et de
la société dans son ensemble. Les données tendent alors à devenir un carburant, une matière première
sans laquelle nos systèmes – systèmes d’information, mais pas uniquement – nos machines, nos villes
et nos transports, ne peuvent fonctionner de manière optimale. Les métaphores d’origine anglo-
saxonnes nous renvoient d’ailleurs à l’image du pétrole : « data is the new oil », « data fuel the
economy ». Les données viendraient donc irriguer, alimenter l’économie. En ce sens, il convient
d’ailleurs de distinguer la donnée avec l’information, car la donnée est dotée d’une valeur ajoutée
technologique de nature à permettre son exploitation numérique.
2 - Tout comme le pétrole, les données sont fluides, et si elles irriguent l’économie, c’est
qu’elles constituent un flux permanent. Peut-être alors est-il difficile d’appréhender et de définir ce
flux. Nous constatons alors que volontairement, le droit ne lui consacre pas une véritable définition
singulière. Cela est parfaitement justifié car la donnée – ou les données – constitue une notion plurielle
et multiforme, qui nécessite des acceptions multiples. La donnée est un objet de droit, identifié et
saisi par un foisonnement législatif et réglementaire, tant à l’échelle nationale qu’européenne. Ces
textes, nombreux, viennent encadrer et régir les données en fonction de « l'objet mis en données, [de]
1
M. Lévy et J.-P. Jouyet, L'économie de l'immatériel : la croissance de demain, Rapport, déc. 2006.
2
V. préc.
Page 6 sur 73
la personne dont elles émanent ou encore au vu de la fonction que l'on tend à leur assigner3
». Ainsi,
les données peuvent être à caractère personnel, et se rapporter à une personne physique identifiée ou
identifiable et impliquer, à l’heure du traitement et l’exploitation massive des données relatives aux
individus par les géants du numérique, des questions cruciales relatives notamment à la vie privée et
à la citoyenneté numérique. Dans ce cadre, ses usages nécessitent donc une réglementation claire et
contraignante. Le droit des données à caractère personnel, droit fondamental, consacré notamment
par la Charte des droits fondamentaux de l'Union Européenne en son article 8, est un droit étroitement
lié au droit au respect de la vie privée consacré à l’article précédant de la même Charte. Le droit des
données à caractère personnel est aujourd’hui mis en lumière par l’entrée en application du règlement
général sur la protection des données4
(RGPD). Il s’agit pour le législateur européen de créer un cadre
renforcé et harmonisé de la protection des données à caractère personnel en tenant compte des
évolutions technologiques importantes des dernières années, notamment le traitement massif des
données dans le cadre du Big data, le traitement des données au moyen d’objets physiques
accompagnant nos activités quotidiennes, à savoir les objets connectés. L’individu personne physique
est ainsi placé au cœur de la réglementation, en voyant ses droits existants renforcés ou de nouveaux
droits consacrés (obligation d’information, recueil du consentement, droit à la portabilité des données,
droit à l’oubli numérique).
Les données peuvent aussi être publiques, ou tout du moins produites par des personnes
morales de droit public, et faire l’objet de politiques dites d’Open data, d’ouverture des données, afin
de favoriser l'innovation, la croissance et une gouvernance transparente. La directive 2003/98/CE du
17 novembre 20035
a instauré un régime de réutilisation des informations publiques qui alimente très
largement le mouvement d’ouverture. Ces données, principalement communiquées par les pouvoirs
publics, sont accessibles à tous et peuvent librement être réutilisées. Par exemple, la plateforme «
data.gouv.fr », permet aux services publics de publier des données publiques et à la société civile de
les enrichir, modifier, interpréter en vue de coproduire des informations d’intérêt général.
Enfin, il y a toutes les autres données, celles qui ne relèvent pas du régime des données à
caractère personnel car elles ne sont pas relatives aux personnes physiques, soit qu’elles aient fait
l’objet d’anonymisation rendant toute tentative d’identification infructueuse, soit qu’elles soient non
personnelles par nature (données générées par des machines relatives à des paramètres
météorologiques, techniques, industrielles, etc). Ces données sont peut-être encore plus hétérogènes
que les données évoquées précédemment. Elles sont ainsi difficilement saisies par le droit. Pourtant,
3
V. C. Zolynski, Un nouveau droit de propriété pour valoriser les données : le miroir aux alouettes ?, Dalloz IP/IT
2018 p.94.
4
Règlement (UE) 2016/679 du 27 avril 2016.
5
Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE
concernant la réutilisation des informations du secteur public.
Page 7 sur 73
de multiples textes s’y appliquent, de manière directe ou indirecte. Le nombre de données
industrielles produites par les entreprises a augmenté de manière exponentielle ces dernières années.
Leur exploitation est devenue une source importante de croissance économique. Devenues des actifs
immatériels, leur valeur nécessitait que des instruments juridiques viennent encadrer leur
exploitation. Ainsi, les données peuvent être des informations secrètes, qui ont une valeur
commerciale (parce qu’elles sont secrètes), et ont fait l’objet, de la part de la personne qui en a
licitement le contrôle, de dispositions raisonnables, compte tenu des circonstances, destinées à les
garder secrètes6
. Elles relèvent alors du « secret des affaires » et des dispositions de la directive
2016/943 sur le secret des affaires, adoptée le 8 juin 2016.
Les données peuvent également, lorsqu’elles sont regroupées dans des bases de données, faire
l’objet d’une protection indirecte qui ne s’applique pas aux données en tant que tel, mais servent à
couvrir l’investissement substantiel réalisé par le fabricant de cette base de données pour l’obtention
du contenu de la base. Cette protection a été consacrée par la directive 96/9/CE relative à la protection
juridique des bases de données7
. C’est ce texte qui sera l’objet de notre présente étude.
3 - Les données, sources de croissance économique, sont désormais au cœur des politiques
publiques européennes. Elles monopolisent l’attention des institutions, dont la Commission
européenne, et sont intégrées dans un projet global : la construction du marché unique numérique au
sein de l’Union européenne. Dans le prolongement de la stratégie de Lisbonne, la stratégie
Europe 20208
, présentée par la Commission dans sa communication du 3 mars 2010 intitulée
« Europe 2020 - Une stratégie pour une croissance intelligente, durable et inclusive », a exposé sept
initiatives phares, comprenant la stratégie numérique. L’Union reconnait alors le rôle essentiel des
technologies de l’information et de la communication dans le cadre de ses objectifs à l’horizon 2020.
Par ailleurs, le Parlement européen considère que le marché unique numérique est un des domaines
de progrès qui recèle le plus de promesses. Dans le même temps, dans une communication du 19 mai
2010 intitulée « Une stratégie numérique pour l’Europe », la Commission pose les bases de sa
stratégie numérique. Le principal objectif est de développer un marché unique numérique afin de
conduire l’Union européenne vers une croissance intelligente, durable et intégratrice.
Par la suite, une nouvelle stratégie a été présentée par la Commission, le 6 mai 2015, dans le
prolongement de la première. C’est ainsi que la « Stratégie pour un marché unique numérique » a été
adoptée, elle repose sur trois piliers : l’amélioration de l’accès aux biens et services numériques dans
6
Directive 2016/943/UE du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non
divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, art. 2.1.
7
Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique
des bases de données.
8
V. Europe 2020 : la stratégie de l'Union européenne pour la croissance et l'emploi, http://eur-
lex.europa.eu/legal-content/FR/TXT/.
Page 8 sur 73
toute l’Europe pour les consommateurs et les entreprises ; la mise en place d’un environnement
propice et des conditions de concurrence équitables pour le développement de services innovants et
de réseaux numériques ; la maximisation du potentiel de croissance de l’économique numérique.
C’est ce troisième pilier qui fait l’objet de notre étude. Dans cet objectif, la Commission propose alors
par la suite une initiative européenne sur la « libre circulation des données ». Elle vise à lutter contre
les restrictions à la libre circulation des données pour des raisons autres que la protection des données
à caractère personnel au sein de l’Union européenne et contre les restrictions injustifiées quant à la
localisation des données à des fins de stockage ou de traitement. Elle traite notamment des
problématiques de propriété, d’accès et de partage des données entre entreprises. Elle esquisse les
caractéristiques de l’économie de la donnée de demain et énonce des initiatives visant à soutenir et à
accélérer la transition vers cette économie. Selon les propres termes de la Commission, « L’économie
de la donnée se caractérisera par un écosystème de différents types d’acteurs interagissant au sein
d’un marché unique numérique, ce qui conduira à davantage d’opportunités commerciales et à une
disponibilité accrue des connaissances et du capital, en particulier pour les PME, ainsi qu’à une
stimulation plus efficace de la recherche et de l’innovation ». Elle estime en outre que l'UE est loin
de tirer le meilleur parti possible de son potentiel en matière de données.
Pour y remédier, il faut éliminer les restrictions injustifiées à la libre circulation des données
par-delà les frontières et lever l'insécurité juridique dans plusieurs domaines. Parmi les objectifs
évoqués : l’harmonisation et la réduction des obligations de localisation des serveurs au sein des États
membres, la clarification du cadre légal de la donnée afin de protéger l’investissement et de réduire
les insécurités juridiques, ainsi que la promotion du partage de données entre acteurs. À l’instar des
années de la Commission Delors durant lesquelles la Commission européenne a incité les États
membres à limiter les obstacles à la libre circulation des biens, capitaux, services et personnes, la
Commission Juncker s’attaque aux obstacles à la libre circulation des données au sein de l’Union.
C’est ainsi que dans une communication intitulée « Building a european data economy » en date du
10 janvier 2017, la Commission annonce une série de propositions. Certaines sont de nature
législative tandis que d’autres ne constituent que des pistes à discuter et envisager. C’est ainsi
qu’après avoir réglementé les données à caractère personnel, la Commission envisage de réglementer
les données à caractère non personnel, à travers une proposition de règlement sur la libre circulation
des données à caractère non personnel9
. Mais ce texte n’a pas la même portée que le RGPD et ses
objectifs apparaissent bien plus modestes. Il a en effet pour but de supprimer les exigences en matière
de localisation des données : suppression des règles nationales injustifiées ou disproportionnées qui
entravent ou restreignent la liberté des entreprises de choisir un lieu pour le stockage ou le traitement
9
Proposition de règlement concernant un cadre applicable à la libre circulation des données à caractère non
personnel dans l’Union européenne, 13/09/2017, SWD(2017) 304 final.
Page 9 sur 73
de leurs données. Nous estimons pourtant que les restrictions quant à la localisation des données ne
constituent que la partie émergée de l’iceberg. Il reste donc un grand vide juridique à combler quant
à la réglementation des données non personnelles et surtout la lutte contre les entraves à la libre
circulation des données. C’est dans cet objectif que les droits de propriété intellectuelle ont un rôle
important à jouer. À ce titre, le seul texte qui s’applique à ce type de données – certes de manière
indirecte – est la directive dite « base de données ».
4 - Définie à l'alinéa 2 de l'article L. 112-3 du Code de la propriété intellectuelle, une base de
données est « un recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière
systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par
tout autre moyen ». Cet article est issu de la loi n° 98-536 du 1er juillet 1998 qui transpose la directive
96/9/CE du 11 mars 1996 relative à la protection juridique des bases de données. Cette directive a vu
le jour dans un contexte particulier que nous étudierons dans le cadre de cette étude. Elle est aussi le
fruit d’un long cheminement. Les premières réflexions quant aux notions de « banques de données »,
« compilations d’informations », « recueils » datent des années 1980. La « directive 96/9 » a été
adoptée peu après l'Accord sur les aspects des droits de propriété intellectuelle qui touchent au
commerce – ADPIC10
– de l'Organisation mondiale du commerce, et dont les dispositions ont été
introduites en droit interne par la loi n° 96-1106 du 18 décembre 1996. L'article 10-2 de l'accord
ADPIC est intéressant en ce qu’il prévoit que « les compilations de données ou d'autres éléments,
qu'elles soient reproduites sur support exploitable par machine ou sous toute autre forme, qui, par le
choix ou la disposition des matières, constituent des créations intellectuelles seront protégées comme
telles. Cette protection, qui ne s'étendra pas aux données ou éléments eux-mêmes, sera sans préjudice
de tout droit d'auteur subsistant pour les données ou éléments eux-mêmes ». Nous constatons donc
que la protection étendue aux données ou éléments en eux-mêmes est expressément exclue. Le régime
de protection de la base de données prévu par la directive de 1996 est original car il instaure une
protection sur un double fondement juridique. La structure de la base est protégée par le droit d’auteur
dès lors qu’elle comporte un « apport intellectuel » caractérisant une création originale. Le contenant
est donc protégé…sous certaines conditions. Qu’en est-il alors du contenu ? En dehors du droit
d’auteur, se trouve consacré un droit spécifique – sui generis – qui bénéficie au fabricant de la base
de données. Le fabricant bénéficie d'une protection du contenu de la base lorsque la constitution, la
vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain
substantiel. C’est donc bien l’investissement qui est protégé, et « rien que l’investissement », pour
reprendre les termes du Professeur Michel Vivant. Il n’empêche qu’en l’état actuel de notre droit, la
directive 96/9 demeure l’instrument juridique le plus proche d’une idée de protection des données.
10
signé lors de l'Accord de Marrakech du 15 avril 1994 et entré en vigueur le 1er janvier 1995.
Page 10 sur 73
C’est en ce sens que dans sa stratégie pour la promotion de la libre circulation des données, la
Commission européenne a lancé courant 2017 une vaste consultation à travers l’Union concernant
cette directive. Cette consultation a précédé la seconde évaluation de la directive (la première datant
de 2005). La Commission a en effet cherché à comprendre les corrélations entre la directive 96/9 et
l’économie européenne de la donnée.
5 - Parallèlement, la Commission avait lancé l’idée de la création d’un nouveau droit de
propriété intellectuelle qui trouverait à s’appliquer à l’économie de la donnée, plus précisément aux
données industrielles générées par des machines. Il s’agirait d’un droit des « producteurs de
données ». Il créerait un droit de propriété sur les données en tant que tel, ce qui renverse totalement
le paradigme reposant sur les mécanismes instaurés par la directive 96/9. Nous devons donc analyser
les mécanismes de la directive 96/9. L’objectif de cette étude réside dans le fait d’analyser le régime
actuel de protection des bases de données, à travers les dispositions normatives de la directive 96/9
(mais aussi à travers ses considérants), la jurisprudence de la Cour de justice, la doctrine française et
européenne, afin d’appréhender les objectifs généraux qui ont gouverné l’adoption de cette directive
en 1996, et de déterminer si ces objectifs demeurent pertinents dans cette nouvelle économie fondée
sur la donnée. La dernière évaluation de la directive 96/9 a été publiée par la Commission à la fin du
mois d’avril dernier. Nous étudierons les conclusions tirées, en livrant une analyse critique.
6 - Dans ce contexte, deux interrogations majeures doivent nous guider dans ce travail de
recherche. Il convient tout d’abord de se demander si le régime juridique relevant de la directive 96/9
est devenu inadapté dans le contexte de l’économie européenne de la donnée, ce qui nécessiterait sa
révision. Par ailleurs, nous devrons déterminer de quelle manière et suivant quelles orientations
stratégiques devrait-on réformer cette directive afin qu’elle devienne un outil juridique favorisant la
libre circulation des données dans l’Union.
7 - Nous verrons que la directive 96/9 doit être révisée pour s’adapter aux nouveaux enjeux
de la construction du marché unique numérique et de l’avènement d’une économie européenne de la
donnée (Partie I). Cette révision souhaitable de la directive doit nécessairement s’inscrire dans la
promotion d’une liberté de circulation des données au sein de l’Union européenne (Partie II).
Page 11 sur 73
PARTIE I – L’ÉCONOMIE EUROPÉENNE DE LA DONNÉE : UN NOUVEL
ENJEU NÉCESSITANT UNE RÉVISION DE LA DIRECTIVE 96/9/CE
8 - Lors de la première évaluation de la directive 96/9 en décembre 200511
, les services de la
Commission européenne avaient conclu que le droit sui generis n’avait pas eu d’effet avéré sur la
compétitivité globale du secteur européen des bases de données. En dépit de ce bilan peu favorable,
ce texte n’avait pas fait l’objet d’une révision.
9 - Dans le nouveau contexte de la construction du marché unique numérique et de l’économie
européenne fondée sur la donnée, une nouvelle évaluation de l’impact du droit sui generis est apparue
nécessaire. Alors que la Commission européenne a conclu au maintien du statut quo, elle reconnait
tout de même que l’application du droit sui generis dans le contexte d’une économie fondée sur les
données « doit être suivie de près12
». Dans notre étude, nous estimons que la directive doit faire
l’objet d’une révision, en ce qu’elle tend à perdre de sa pertinence face aux nouveaux enjeux de
l’économie de la donnée (Chapitre I). À ce titre, la directive constitue une des entraves à la
construction d’une économie européenne de la donnée compétitive (Chapitre II).
Chapitre I – La relative inadéquation de la directive face à l’émergence de l’économie fondée sur la
donnée
10 - La directive 96/9 a été adoptée en 1996. Les objectifs économiques qui ont gouverné
l’adoption de ce texte répondaient à des besoins précis qui demeurent probablement pertinents dans
certains secteurs, comme celui de l’industrie de l’édition13
. Mais vingt-deux ans après l’adoption de
la directive, le contexte technologique est marqué par la révolution du Big data. Un nouveau contexte
qui marque une certaine obsolescence de certains objectifs de la directive, et un manque de pertinence
du droit sui generis (Section 1). En outre, alors qu’il demeure de nombreuses incertitudes, la dernière
évaluation de la directive confirme les solutions dégagées par la jurisprudence de la Cour de justice
11
Services de la Commission européenne – DG Marché intérieur, Première évaluation de la directive 96/9/CE
concernant la protection juridique des bases de données (2005)
12
Services de la Commission européenne – Résumé de l’évaluation de la directive 96/9/CE concernant la
protection des bases de données, p. 4, 25.4.2018
13
V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018)
147 final, p. 20: “The most supportive responses came from database producers, especially from the publishing
sector”.
Page 12 sur 73
de l’Union Européenne : le droit sui generis ne s’applique pas à l’ensemble de l’économie fondée sur
les données (Section 2).
Section 1 – Les objectifs et le régime de la directive confrontés au nouvel écosystème de la data
11 - À la lecture des considérants de la directive, il ressort que l’un des objectifs –
économiques – de ce texte, était d’encourager l’investissement dans la création des bases de données.
À l’ère du Big data, cet objectif nous semble désuet (A). Par ailleurs, le concept même de base de
données, tel qu’il a été envisagé par la directive – bases de données statiques – ne correspond plus
aux caractéristiques des bases de données fluides et dynamiques du Big data (B). En outre, Les
nouvelles techniques propres au Big data viennent se confronter au droit sui generis (C).
A) - La désuétude de l’objectif d’encouragement à la création de bases de données
12 - Les considérants de la directive sont instructifs. Ils nous renseignent sur les travaux
préparatoires qui ont abouti à l’élaboration du texte, mais aussi sur le contexte général sur le plan
économique et technologique. Le nombre de considérants14
, aussi, est instructif. Le droit sui generis
a en effet donné lieu à des négociations très serrées, la crainte de la constitution de monopoles
informationnels étant déjà à ce stade à l’origine de controverses. Alors qu’il était question à cette
époque d’évaluer les éventuelles menaces qu’un nouveau droit [sui generis] pouvait constituer quant
à libre circulation de l’information15
, les enjeux sont peut-être aujourd’hui encore plus cruciaux. Il
s’agit de libre circulation des données dans l’Union européenne et de la construction d’un marché
unique numérique. Le marché des CD-ROM était le cadre référentiel de la directive16
. Certes, dans
le cadre de l’adoption de certains textes normatifs, la légistique est pensée de manière à permettre
une adaptation optimisée aux évolutions technologiques, mais dans le cadre du Big data, s’agit-il
d’une « évolution » technologique ? Le terme « révolution17
» semble bien plus approprié. Cette
révolution, qui n’est d’ailleurs pas exclusivement technologique, est à l’origine des nouvelles
14
V. Jcl, Propriété littéraire et artistique, Fasc. 1650, A. Lucas, Droit des producteurs des bases de données, p.
15.
15
V. A. Beunen, Protection for databases. The European Database Directive and its effects in the Netherlands,
France, and the United Kingdow : Wolf legal publishers, Nimègue, 2007, p. 186. .- V. aussi V.-L. Benabou, S.
Lemarchand et S. Rambaud : Propr. intell. 2003, p. 319
16
V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018)
147 final, p. 38.
17
V. V. Mayer-Schönberger, K. Cukier, Big data: la révolution des données est en marche, R. Laffont, 2014
Page 13 sur 73
orientations politiques de la Commission européenne18
. Ainsi, il ne s’agit pas juste de questions
d’adaptation de dispositions particulières de la directive aux évolutions, il s’agit de la raison d’être
de ce texte, de l’obsolescence des objectifs économiques qui ont été à l’origine de son adoption.
13 - La directive 96/9 avait initialement pour objectif d’encourager l’investissement dans la
création de bases de données, afin de concurrencer les bases de données américaines19
. L’enjeu était
alors à la valorisation des bases de données au profit des entreprises qui avaient investi dans la
constitution de ces bases. La valeur résidait donc dans la base de données elle-même, en tant qu’actif
protégeable. Dans certains domaines industriels, cette réalité économique est encore d’actualité.
Mais, en est-il autrement dans le cadre du Big data ? Dans ce cadre, ce ne sont pas tant les bases de
données qui sont valorisables, mais les données elles-mêmes, c'est-à-dire le contenu des bases de
données. L’heure n’est donc plus à investir pour constituer des bases de données pour être en mesure
de les valoriser, mais plutôt de collecter et traiter en temps réel de grands volumes de données les
plus variées possibles : là réside la valeur. Sur le plan économique, la structuration des données est
un non sens. À ce titre, l’industrie des bases de données a été profondément impactée par le Big data
et les nouvelles techniques de traitement de données massives. Ainsi, de nombreuses bases de
données peuvent être aujourd’hui produites moyennant un moindre investissement. La création du
contenu des bases de données a été marquée par d’importantes évolutions. Il ne s’agit plus d’investir
pour réunir des données existantes afin de constituer une base. La collecte des données est issue de
traitements automatisés20
. Ainsi, les acteurs de différents secteurs industriels (fabricants de bases de
données), consultés dans le cadre de l’évaluation de la directive, ont majoritairement considéré que
les avancées technologiques ont rendu les dispositions de la directive 96/9 obsolètes21
.
B) - La perte de pertinence du concept de bases de données statiques à l’ère du Big data
14 - La notion de « base de données » apparait comme étant une notion centrale dans la data
driven economy. Elle est d’ailleurs présente dans la quasi-totalité des lexiques des termes les plus
utilisés du Big data22
. Pourtant, ce type de bases de données n’a pas grand chose en commun avec les
critères relatifs aux bases de données couvertes par la directive. Le besoin d’organiser les données,
18
Les conclusions du Conseil européen d’octobre 2013 appellent à une action de l’UE en vue d’établir un cadre
favorable à un marché unique des données massives (big data) et de l’informatique en nuage.
19
Castets-Renard C., La protection juridique des bases de données chahutée, mai 2009, La propriété littéraire et
artistique en quête de sens, Actes ss la dir. de P. Sirinelli, 20 ans du CERDI
20
Processus “Machine to Machine” (M2M), données générées par des machines.
21
V. Commission européenne, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases,Annex 2, Economic analysis, p. 27.
22
SAGE Campus, glossary of Big Data and data science terms: https://campus.sagepub.com/blog/glossary-of-
big-data-terms
Page 14 sur 73
potentiellement de grandes quantités de données, afin d’en optimiser la conservation et la restitution
est au cœur du Big data. Les bases de données, qui peuvent être identifiées comme des solutions
informatiques de stockage et traitement analytique de données massives en temps réel, sont des outils
incontournables de cet écosystème. Ces dernières années, le volume des données collectées par les
entreprises a augmenté de manière exponentielle. Elles émanent de sources variées (transactions,
réseaux, géolocalisation, smart-industry,...) et sont susceptibles de croître très rapidement. Ces
données sont donc difficiles à traiter avec des outils classiques de gestion de données. C’est ainsi que
sont nées les bases de données NoSQL (Not Only SQL) qui permettent, grâce à leur flexibilité, de
gérer de gros volumes de données hétérogènes sur un ensemble de serveurs de stockage distribués23
.
Ces différents outils démontrent la dimension dynamique des traitements de données Big data, qui
s’effectuent en temps réel.
15 - La rapidité et l’accessibilité sont des critères clés qui font partie des 10 grandes tendances
du Big data pour l’année 2017. Dans ce contexte, des juristes experts estiment que la protection
conférée par la directive 96/9 ne serait plus adaptée car la notion même de base de données perd de
sa pertinence. À l’ère du Big data et des puissances de traitement et de conservation des données, les
besoins ne résident plus dans la constitution d’un ensemble organisé et structuré de données24
. Les
données sont aujourd’hui caractérisées par leur fluidité25
, par opposition aux données réunies pour
constituer des bases statiques que l’on entend valoriser.
16 - La durée de protection prévue par la directive au titre du droit sui generis est un exemple
qui démontre la difficulté du régime juridique de protection des bases de données à appréhender les
bases de données dynamiques typiques au Big data. En effet, selon l’article 10 de la directive, la durée
de protection est de 15 ans « après le 1er
janvier de l'année qui suit la date de l'achèvement » de la
base. L’alinéa 3 de cet article apporte une précision importante : « Toute modification substantielle,
évaluée de façon qualitative ou quantitative, du contenu d'une base de données, notamment toute
modification substantielle résultant de l'accumulation d'ajouts, de suppressions ou de changements
successifs qui ferait considérer qu'il s'agit d'un nouvel investissement substantiel, évalué de façon
qualitative ou quantitative, permet d'attribuer à la base qui résulte de cet investissement une durée
de protection propre ». Ainsi, à l’occasion de chaque mise à jour substantielle d’une base de données,
une nouvelle durée de protection, propre à la version modifiée de la base, est attribuée. Il est vrai
qu’en règle générale, une modification substantielle du contenu d’une base de données n’est pas
systématique, ce qui pourrait écarter le spectre d’une protection perpétuelle. Mais qu’en est-il dans le
cadre du Big data ? Les données contenues dans les bases de données dans le cadre de l’économie
23
Rudi Bruchez, Les bases de données NoSQL, 2e
ed., Eyrolles, 2015
24
S. Larrière, Expertises des systèmes d’information, Avr. 2017.
25
N. Courtier, Bases de données, une protection obsolète, Expertises des systèmes d’information, juin 2017.
Page 15 sur 73
des données, font l’objet de renouvellements successifs et continus26
. De plus, ce flux massif de
données, sans aucune limitation quantitative, est susceptible de constituer une « modification
substantielle » du contenu de la base, et ainsi engendrer des prorogations successives de la durée de
protection de la base. La directive ne prévoyant aucune limitation quant à ces prorogations, nous
pouvons estimer que dans ce cadre, une protection perpétuelle de ces bases de données est
envisageable. Sur ce point, de nombreuses critiques ont émergé, émanant principalement
d’organismes publics et d’utilisateurs de bases de données. En effet, une protection perpétuelle de ce
type de bases de données aurait pour effet de créer des monopoles informationnels et des situations
permanentes de rétention de données. Dans un cadre plus global, cela constitue un frein à la libre
circulation des données prônée par la Commission européenne.
17 - Si les « trois V » qui caractérisent le Big data progressent continuellement, c'est la variété
qui s'impose comme le principal moteur des investissements dans le Big Data27
. Les entreprises
cherchent en effet à intégrer d’avantage de sources de données. Les plateformes de traitement de
données permettent d’analyser rapidement des données issues de milliers de sources en temps réel.
Les débits de données sont très élevés, on parle alors de flots de données. L’analyse sur les flots de
données combine des flux de données, comme les données de localisation GPS et les informations
techniques provenant d’un véhicule pour les analyser. Ces traitements en temps réel de grands
volumes de données, issues de sources très variées, tendent à devenir problématiques car le droit sui
generis n’a pas été conçu de manière à appréhender ces nouvelles pratiques.
C) - Le droit sui generis : un obstacle aux nouvelles techniques du Big data
18 - L’écosystème de la donnée a été marqué par de profonds changements et sont apparues des
techniques nouvelles permettant d’exploiter les bénéfices issus du Big data. À ce titre, le web scraping
est une des techniques emblématiques d’extraction de données à partir d’autres sources. Apparue ces
dernières années, elle consiste en un processus automatisé : un robot (le plus souvent un logiciel)
paramétré de façon à extraire les données souhaitées sur un site web, contenues le plus souvent dans
des bases de données. Ces données récupérées sont par la suite stockées à leur tour dans des bases de
données.
26
V. Sur ce point infra, n° 16 et 17.
27
NewVantage Partners LLC, An Update on the Adoption of Big Data in the Fortune 1000, Executive Summary, p.
4
Page 16 sur 73
Plus généralement, la Data science est une nouvelle discipline28
qui apparait désormais comme
étant un des piliers de la Data driven economy. Elle permet à une entreprise d’explorer et d’analyser
les données brutes pour les transformer en informations précieuses permettant de résoudre les
problèmes de l’entreprise. La Data science permet d’explorer des Insights, qui permettent de
découvrir et appréhender des tendances et comportements complexes. Mais pour extraire ces
informations si précieuses et valorisables pour les entreprises, l’étape cruciale est relative à la collecte
des données. Elles doivent provenir de sources les plus diverses pour optimiser les corrélations.
19 - Ces différentes techniques, qui impliquent l’exploration de données extraites en quantité
massives – donc nécessairement substantielles – à partir de sources très diverses (comprenant des
jeux de données stockés dans d’autres bases de données), viennent se confronter avec le droit sui
generis. Il apparait alors comme un frein à leur développement, ce qui est néfaste pour la croissance
globale au sein de l’Union européenne. En effet, les avantages économiques tirés de ces nouvelles
techniques et leurs effets sur l’emploi sont considérables. À ce titre, les dernières études menées au
sein de l’Union estiment que plus de 100 000 emplois directement liés à l’analyse de données seront
créés, tandis que l’introduction du Big data dans le top 100 des producteurs et fabricants industriels
pourrait mener à réaliser des économies de plus de 425 milliards d’euros d’ici 202029
.
20 – Le régime du droit sui generis, qui n’a pas été pensé pour appréhender ce type de
techniques, manque de flexibilité et constitue à ce titre, un obstacle. En effet, les articles 7 paragraphe
1er
et 7 paragraphe 5 de la directive 96/930
disposent respectivement que : « Les États membres
prévoient pour le fabricant d'une base de données le droit d'interdire l'extraction et/ou la réutilisation
de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu
de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un
investissement substantiel du point de vue qualitatif ou quantitatif. » ; « L'extraction et/ou la
réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données
qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient
un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées. ». Ainsi,
un fabricant de bases de données peut s’opposer d’une part, à l’extraction et/ou la réutilisation de la
totalité ou d’une partie substantielle, du contenu de la base et, d’autre part, à l’extraction et/ou la
réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données.
Or, de nombreuses pratiques tendent à réutiliser les contenus de bases de données. Une des pratiques
28
…du moins, relativement nouvelle, puisqu’il semblerait qu’elle soit née à Montpellier, en 1992, lors du 2ième
colloque Franço-Japonais de statistique, selon le Professeur G.-R. Ducharme. V. en ce sens : Y. Escoufier, B. Fichet,
E. Diday, L. Lebart, C. Hayashi, N. Ohsumi, Y. Baha, Preface to “Data science and its application - La science des
données et ses applications”, ed. Academic Press, Tokyo, 1995.
29
European commission, EPSC Strategic Notes, Enter the data economy, EU Policies for a thriving data ecosystem,
01.2017, p.3.
30
V. transposition en droit français : art. L342-1 du CPI.
Page 17 sur 73
les plus courantes en matière de scraping est la mise en place de métamoteurs de recherches dédiés.
Il convient de se demander si cela constitue une « réutilisation » au sens de la directive, qui serait
donc prohibée. Les contentieux n’ont pas manqué de se multiplier, et sur ce point, la Cour de justice
de l’Union européenne s’est prononcée dans le cadre de l’arrêt Innoweb31
. La Cour détermine si une
entreprise qui exploite un métamoteur de recherches dédié procède à une réutilisation de la totalité
ou d'une partie substantielle du contenu d'une base de données au sens de l'article 7, paragraphe 1er
de la directive. En l’espèce, il s’agissait d’un moteur de recherche d’annonces de vente de voitures
dénommé Autotrack, qui voyait sa substance parasitée par un métamoteur de recherche dédié à la
vente de voiture. Ce dernier effectuait 100 000 requêtes par jour dans Autotrack. La Cour estime que
la notion de « réutilisation » s'entend de « tout acte non autorisé de diffusion au public du contenu
d'une base de données protégée ou d'une partie substantielle d'un tel contenu32
». Elle considère
ensuite qu’un opérateur qui met en ligne sur Internet un métamoteur de recherche dédié procède à
une réutilisation de la totalité ou d’une partie substantielle du contenu d’une base de données protégée
par cet article 7 dès lors que ce métamoteur de recherche dédié remplit 3 critères cumulatifs : si le
métamoteur fournit à l’utilisateur final un formulaire de recherche offrant, en substance, les mêmes
fonctionnalités que le formulaire de la base de données ; s’il traduit «en temps réel» les requêtes
des utilisateurs finaux dans le moteur de recherche dont est équipée la base de données, de sorte que
toutes les données de cette base sont explorées, et s’il présente à l’utilisateur final les résultats trouvés
sous l’apparence extérieure de son site Internet, en réunissant les doublons en un seul élément, mais
dans un ordre fondé sur des critères qui sont comparables à ceux utilisés par le moteur de recherche
de la base de données concernée pour présenter les résultats.
La Cour de justice a certes statué sur ce point, mais il demeure d’importantes divergences
d’interprétation entre experts. De plus, les utilisateurs de bases de données estiment que les
dispositions de la directive relatives à l’extraction de données sont une source d’insécurité juridique
dans le cadre des activités relatives à la Data science et au Big data analytics. Cela est d’ailleurs
reflété à travers les interventions des différents experts consultés lors des workshops organisés par la
Commission européenne dans le cadre de l’évaluation de la directive33
. Il convient de rappeler que
ce type de pratiques, notamment le scraping, est devenu très courant dans l’économie de la donnée.
Une interdiction du scraping au titre du droit sui generis, qui aurait un caractère général et qui ne
31
V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases,Annex 2, Legal analysis, p. 73-74 .- CJUE, 5e ch., 19 déc. 2013, aff. C-202/12, Innoweb: M. Meister,
Europe n° 2, Févr. 2014, comm. 97
32
CJUE, 5e ch., 19 déc. 2013, aff. C-202/12, Innoweb, point 37.
33
V. préc. note (29), p. 80 : “ At the workshop, some wanted more protection against scraping while others
mentioned that there is still high uncertainty about what is permissible and impermissible scraping.”
Page 18 sur 73
tiendrait pas compte des spécificités et buts recherchés, serait préjudiciable à l’ensemble de cette
économie.
Section 2 – le champ d’application restreint du droit sui generis dans l’économie fondée sur la donnée
21 – Dans sa communication intitulée Building a European Data Economy34
, la Commission
européenne identifie les barrières qui constitueraient un frein à la libre circulation des données au sein
de l’Union européenne. Elle focalise alors son attention sur les données générées par des machines35
,
qui apparaissent comme étant cruciales dans le cadre de l’économie fondée sur les données. C’est
dans ce contexte qu’elle a entrepris une nouvelle évaluation de la directive 96/9. Pourtant, la
jurisprudence très restrictive de la Cour de justice a pour effet d’écarter une majorité des données
générées par des machines du champ d’application du droit sui generis. Ces données sont en effet
considérées comme étant « créées » et non « obtenues » (A). De plus, faisant l’objet de collecte, puis
de traitements automatisés, un « investissement substantiel » est souvent difficile à justifier par les
fabricants de ce type de bases de données (B).
A) - La qualification juridique des données générées par des machines (M2M) : distinction « données
créées » / « données obtenues »
22 - Les données générées par des machines sont d’une importance capitale dans l’économie
fondée sur la donnée. Industrie 4.0, Usines du futur, Smart manufacturing, Smart cities…tous ces
termes symbolisent la dernière révolution industrielle36
. Ils ont pour dénominateur commun l’Internet
des objets (IOT). L’industrie intelligente, la ville intelligente, l’agriculture intelligente, reposent tous
sur un système d’interconnections de machines (des capteurs), qui produisent et collectent des
données. Ces données sont donc générées par des capteurs dans tous types d’industries dans lesquels
l’IOT est présente : industrie automobile, aéronautique, météorologie, santé, sport connecté, etc.
L’interaction humaine est relativement faible, ces flux de données étant le fruit de processus
parfaitement automatisés. En 2017, le nombre des objets connectés en services était estimé à 20,25
milliards et devrait grimper à plus de 30 milliards à l’horizon 202037
.
34
European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01-
2017, p. 4.
35
Machine to Machine data (M2M)
36
Certains experts considèrent qu’il s’agit de la 4è révolution industrielle, V. en ce sens K. Schwab, The Fourth
Industrial Revolution: what it means, how to respond, World Economic Forum Geneva, 2016.
37
Statista.com, Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025.
Page 19 sur 73
23 - En dépit de leur aspect déterminant dans l’économie fondée sur la donnée, les données
générées par des machines ne sont pas, a priori, couvertes par le régime de protection du droit sui
generis38
. Ce type de données qui constituent des bases de données, sont considérées comme étant
des « données créées ». Ce ne sont donc pas des « données obtenues ». Le concept de « données
obtenues » est issu de la jurisprudence de la Cour de justice dite Fixtures Marketing39
. Il s’agit d’un
arrêt très important car antérieurement, les tribunaux des États membres avaient tendance à ne pas
distinguer la création de contenu et l’obtention de contenu d’une base de données. C’est notamment
le cas de la jurisprudence française (TGI et Cour d’appel de Paris40
). Ainsi, la rupture a été marquée
par cet arrêt de la Cour de justice dans lequel elle précise que « La notion d’investissement lié à
l’obtention du contenu d’une base de données au sens de l’article 7, paragraphe 1, de la directive
doit s’entendre comme désignant les moyens consacrés à la recherche d’éléments existants et à leur
rassemblement dans ladite base. Elle ne comprend pas les moyens mis en œuvre pour la création des
éléments constitutifs du contenu d’une base de données ». Il s’agit d’une interprétation très stricte de
l’article susvisé. La Cour ajoute que « Le but de la protection par le droit sui generis organisée par
la directive est en effet de stimuler la mise en place de systèmes de stockage et de traitement
d’informations existantes, et non la création d’éléments susceptibles d’être ultérieurement
rassemblés dans une base de données », « Cette interprétation est corroborée par le trente-neuvième
considérant de la directive, selon lequel l’objectif du droit sui generis est de garantir une protection
contre l’appropriation des résultats obtenus de l’investissement financier et professionnel consenti
par la personne qui a “recherché et rassemblé le contenu” d’une base de données. […] une
interprétation excluant de la notion de création des éléments contenus dans la base de données ».
Concernant les bases de données constituées par des données générées par des machines, elles sont
38
M. Leistner, Big Data and the EU Database Directive 96/9/EC: Current Law and Potential for Reform in L.
Schulze, Staudenmayer, Trading Data in the Digital Economy: Legal Concepts and Tools, 2017: “ many authors
have derived that in typical big data scenarios, the investments of ‘producers’ of sensor or machine-generated
data of all kinds will be excluded from the sui generis right because in most practical cases, such investments
would have to be regarded as investments in the ‘creation’ of data.”.
39
La CJUE a rendu le 9 novembre 2004 quatre décisions importantes sur le droit sui generis des producteurs des
bases de données, dont les arrêts Fixtures Marketing. V. CJCE, 9 nov. 2004, The British Horseracing Board Ltd
e.a., Fixtures Marketing Ltd c/ Organismos Pronostikon ; Fixtures Marketing Ltd c/ Oy Veikkaus AB et Fixtures
Marketing Ltd: M. Vivant, L’investissement, rien que l’investissement, Revue Le Lamy Droit de l'immatériel, Nº 3,
1er mars 2005 ; P. Kamina, Droit sui generis sur les bases de données, Propr. industrielle n° 1, Janvier 2005, comm.
7.
40
V. en ce sens CA Paris, 4e ch., 20 mars 2002 : PIBD 2002, III, p. 331. V. aussi, CA Paris, 4e ch., 18 juin 2003 .-
TGI Paris, 3e ch., 25 avr. 2003 : D. 2003, p. 2819, obs. C. Le Stanc : jugement récusant la distinction
création/obtention des donné contenues dans la base de données.
Page 20 sur 73
le plus souvent le sous-produit41
de l’activité centrale d’une entreprise42
. En tant que bases de données
dérivées, elles ne sauraient être couvertes par le droit sui generis.
B) - Le critère discriminant de « l’investissement substantiel » dans le cadre des données générées par
des machines
24 - Au-delà de la qualification des données générées par des machines en tant que « données
créées », le critère de « l’investissement substantiel » contribue fortement à écarter une grande partie
des bases de données constituées de données générées par des machines, du champ de protection par
le droit sui generis. En effet, pour qu’une base de données bénéficie de la protection par le droit sui
generis, il faut qu’elle ait fait l’objet, de la part du fabricant, d’un investissement substantiel, évalué
de manière qualitative et quantitative, dans l’obtention, la vérification ou la présentation du contenu
de la base. Cet investissement peut être financier, humain ou matériel. Il peut ainsi consister dans la
mise en œuvre de ressources ou de moyens humains, financiers ou techniques. L'appréciation
quantitative fait référence à des moyens chiffrables et l'appréciation qualitative à des efforts non
quantifiables, tels qu'un effort intellectuel ou une dépense d'énergie.
Les progrès technologiques importants des dernières années ont considérablement impacté la
structure des coûts relative à la création de bases de données. Cela est encore plus vrai dans le cas des
bases constituées à partir des données générées par des machines. Ainsi, un nombre bien plus
important de bases de données peuvent être créées, moyennant des investissements bien plus faibles.
Dans ces nombreux cas, il apparait bien difficile pour un fabricant de bases de données de justifier
des investissements substantiels pour la création de ces bases, qui sont le fruit de processus
automatisés. Il en résulte donc qu’une grande partie des bases de données constituées à partir de
données générées par des machines ne remplissent pas le critère d’investissement substantiel. Elles
échappent à l’application de la directive et ne font donc pas l’objet d’une réglementation harmonisée.
Il n’en demeure pas moins qu’elles revêtent une importance capitale dans la Data driven economy.
C’est ainsi qu’un certain nombre de participants au Workshop mené dans le cadre de la consultation
pré-évaluation de la directive ont relevé l’importance de ce type de données pour les start-up et
41
Théorie du Spin-off: le droit sui generis n'a vocation à défendre que l'investissement affecté à la seule base de
données. En ce sens : refus de prendre en considération les investissements non directement liés à la base elle-
même
42
V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases, Annex 2, Legal analysis, p. 37.
Page 21 sur 73
l’innovation en général, les qualifiant même d’« oxygène43
». Ces participants réclament en outre que
l’accès à ces données soit réglementé de manière à optimiser les processus d’innovation et la libre
concurrence.
Chapitre II – Une inadéquation qui constitue une entrave au développement de l’économie européenne
de la donnée
25 - La directive 96/9 n’a pas été pensée pour encadrer les bouleversements technologiques des
dernières années et l’avènement d’une économie européenne de la donnée. Le régime juridique du
droit sui generis, stricte par nature, a été rigidifié par la jurisprudence de la Cour de justice. C’est
ainsi qu’il ne peut trouver à s’appliquer dans un bon nombre de situations relevant des données
générées par des machines, qui constituent pourtant le socle de l’économie fondée sur la donnée. A
contrario, lorsque le droit sui generis s’applique à des situations relevant du Big data, il constitue
souvent un obstacle à leur mise en œuvre.
26 - Le dernier rapport d’évaluation, publié par les services de la Commission fin avril dernier,
rappelle à juste titre que la directive 96/9 a été adoptée pour traiter d’un sujet : …les données. Ces
données sont devenues un sujet central de l’économie numérique44
. Le rapport poursuit en estimant
qu’« en ce sens, la directive demeure très pertinente en réduisant la fragmentation réglementaire
relative à la protection des bases de données ». Nous estimons que ces affirmations devraient être
nuancées. En effet, le régime actuel du droit sui generis constitue une source d’insécurité juridique
dans le cadre de l’économie de la donnée (Section 1). Par ailleurs, l’absence de véritable cadre
juridique harmonisé et efficient est vectrice de stratégies de rétentions de données entre acteurs
économiques (Section 2).
Section 1 – Les incertitudes émaillant le cadre réglementaire relatif aux données générées par des
machines : sources d’insécurité juridique
27 - S’il est établi que les données générées par des machines ne sont généralement pas
couvertes par le droit sui generis, il demeure des situations où ce droit trouve encore à s’appliquer. Il
43
V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases, Annex 2, Economic analysis, p. 35.
44
V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018)
147 final, p. 35.
Page 22 sur 73
n’est d’ailleurs pas aisé de les déterminer, ce qui constitue une source importante d’incertitudes pour
les acteurs qui, au final, éprouvent des difficultés quand il s’agit de savoir avec précision ce qui relève
ou non du droit sui generis dans l’économie de la donnée (A). Par ailleurs, l’insécurité juridique qui
en découle est renforcée par l’absence d’un cadre juridique harmonisé (B).
A) - Incertitudes dans les situations encore couvertes par le droit sui generis
28 - Les arrêts rendus par la Cour de justice en 2004 ont certes permis de clarifier le champs
d’application du droit sui generis et de préciser les attributs que doivent revêtir les investissements
réalisés par les fabricants pour bénéficier de cette protection juridique, il reste pourtant des zones
d’ombre. Tout d’abord, l’avènement des données générées par des machines semble brouiller la
frontière entre les investissements réalisés pour l’obtention de donnés, et ceux réalisés pour la création
de données. Cette distinction qui permet d’écarter un grand nombre de bases de données du champ
d’application du droit sui generis demeure ainsi litigieuse45
. Affirmer en effet, de façon définitive,
que toutes les données générées par des machines ne relèvent pas du droit sui generis reviendrait à
tomber dans le piège de la facilité. Il convient d’analyser à nouveau les critères jurisprudentiels de la
Cour de justice et de les confronter aux caractéristiques des données générées par des machines.
Rappelons que selon la jurisprudence de la Cour, les investissements couverts par le droit sui generis
sont ceux qui impliquent des moyens consacrés à la recherche d’éléments existants et à leur
rassemblement dans une base de données46
. Par opposition, sont exclus du champ de protection, les
moyens mis en œuvre pour la création des éléments constitutifs du contenu de la base de données.
Les données protégées dans une base de données sont donc celles qui ont été recherchées et
rassemblées. Qu’en est-il alors des données générées par des machines ? Elles sont collectées à partir
de capteurs. Dans certains types d’industries, la collecte de données industrielles par des capteurs,
puis leur rassemblement afin de constituer des bases de données constitue l’activité principale des
entreprises qui en ont fait un véritable business model. Les investissements réalisés par ces entreprises
sont donc des investissements réalisés principalement pour cette activité de constitution de bases de
données, ce qui tend à rendre la théorie du Spin-off inopérante. Ainsi, le fabricant de bases de données,
qui a investi des moyens conséquents afin de collecter des données, à partir de capteurs, puis de les
rassembler dans des bases de données ne devrait-il pas pouvoir bénéficier de la protection au titre du
45
M. Leistner, Big Data and the EU Database Directive 96/9/EC: Current Law and Potential for Reform in L.
Schulze, Staudenmayer, Trading Data in the Digital Economy: Legal Concepts and Tools, 2017, p. 28.
46
V. infra n° 24.
Page 23 sur 73
droit sui generis ? La question est complexe, et mérite d’être posée. Elle l’a d’ailleurs été, la Cour
fédérale de justice allemande s’étant prononcée dans un arrêt du 25 mars 201047
. La solution de cet
arrêt est notable48
car la Cour a estimé que les bases de données d’une société d’autoroute bénéficient
de la protection du droit sui generis, alors même que ces bases sont constituées de données générées
par des machines (générées par des capteurs présents dans les systèmes de péages). La Cour a
considéré qu’il ne s’agissait pas de données « créées », mais bien de données « obtenues » car les
sociétés d’autoroutes ont investi financièrement pour enregistrer ces données préexistantes, relatives
aux véhicules utilisant les autoroutes. Mais la Cour va au-delà de la distinction entre la création et
l’obtention des données. Rappelons que selon l’article 7 paragraphe 1 de la directive, les bases de
données sont protégées au titre du droit sui generis « lorsque l'obtention, la vérification ou la
présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou
quantitatif ». Les critères relatifs à la vérification et la présentation du contenu des bases de données
viennent donc se joindre au critère de l’obtention. Concernant la vérification des données, l’arrêt The
British Horseracing Board49
nous indique que « la notion d'investissement lié à la vérification du
contenu de la base de données au sens de l'article 7, paragraphe 1, de la directive doit être comprise
comme visant les moyens consacrés, en vue d'assurer la fiabilité de l'information contenue dans ladite
base, au contrôle de l'exactitude des éléments recherchés, lors de la constitution de cette base ainsi
que pendant la période de fonctionnement de celle-ci. Des moyens consacrés à des opérations de
vérification au cours de la phase de création d'éléments par la suite rassemblés dans une base de
données ne relèvent pas de cette notion50
». Ainsi, la vérification doit avoir lieu au moment de la
collecte des données. Quant au critère de présentation du contenu de la base, dans l’un des arrêts
Fixtures Marketing51
, la Cour de justice indique que « la notion d'investissement lié à la présentation
du contenu de la base de données concerne, pour sa part, les moyens visant à conférer à ladite base
sa fonction de traitement de l'information, à savoir ceux consacrés à la disposition systématique ou
méthodique des éléments contenus dans cette base ainsi qu'à l'organisation de leur accessibilité
individuelle ». Dans l’arrêt Autobahnmaut, la Cour fédérale de justice allemande a estimé que les
critères de vérification et présentation étaient constitués par le traitement des données par des
logiciels. Cette solution est donc importante, quand bien même il s’agit d’un arrêt isolé et non
confirmé par les hautes Cours des autres États membres. C’est ainsi que de nombreux acteurs de
l’industrie automobiles consultés lors du Workshop organisé par la Commission européenne n’ont
47
Autobahnmaut, BGH I ZR 47/08, 25 March 2010.
48
V. préc. note (45).
49
CJCE, 9 nov. 2004, The British Horseracing Board Ltd e.a., Fixtures Marketing Ltd c/ Organismos Pronostikon,
pt. 42.
50
Solution reprise dans Cass. 1re
civ., 5 mars 2009, RLDI 2009/48, no
1572, obs. Costes L., JCP E 2009, 1674, no
1,
obs. Vivant M., Mallet-Poujol N. et Bruguière J.-M.
51
V. CJCE, 9 nov. 2004, Fixtures Marketing Ltd c/ Oy Veikkaus AB, pt. 37.
Page 24 sur 73
pas manqué de transposer ce raisonnement aux bases de données constituées des données générées
par les capteurs installés dans les véhicules connectés52
. Il y a un véritable enjeu, qui est d’ailleurs
analysé dans la dernière évaluation de la directive53
: il devient de plus en plus complexe de distinguer
entre la création de données et l’obtention de données dans le contexte de l’Internet des objets, de la
collecte de données par des capteurs. Par ailleurs, on peut s’interroger sur la pertinence de la théorie
du Spin-off qui exclut les bases de donnés qui sont les sous-produits d’une activité économique
principale. En effet, dans l’économie de la donnée, les business models changent radicalement et ce
qui est jusqu’alors considéré comme un sous-produit pourrait très bien faire l’objet d’investissements
spécifiques et être au cœur de ces nouveaux business.
29 - Concernant le critère d’investissement substantiel, il n’est pas non plus définitivement
établi que toutes les bases de données constituées dans le cadre des données générées par des
machines ne fassent l’objet que de faibles investissements. Certes, de manière générale,
l’automatisation des process a considérablement rabaissé les coûts54
. Mais est-ce le cas de tous les
process de collecte de données par des machines ? Un des acteurs consultés dans le cadre de
l’évaluation de la directive a estimé que les investissements réalisés dans la collecte des données
générées par des machines peuvent varier de niveaux très élevés à des niveaux très bas. Pour illustrer
cette affirmation, il a cité le Large Hadron Collider55
comme exemple. Il s’agit à coup sûr d’un des
plus grands et onéreux objets connectés au monde : « le flot de données résultant est bien au-delà des
capacités de traitement et de stockage actuelles56
»… Par ailleurs, des représentants de l’industrie du
sport indiquent avoir fait des investissements élevés dans des capteurs afin de collecter des données
relatives aux conditions de jeu de matchs diffusés en direct (ce qui a d’ailleurs contribué au
développement considérable de l’industrie des paris sportifs en ligne). On peut penser par exemple
aux données relatives à l’état des pelouses, qui peuvent être cruciales.
Ainsi, il existe probablement des situations relevant de données générées par des machines qui
peuvent faire l’objet d’une protection au titre du droit sui generis. Ces situations ne feront que croître
à l’avenir en fonction de l’évolution radicale des business models associés à la data. De nombreux
acteurs ont mis en lumière les incertitudes quant à l’application ou non du droit sui generis dans ces
différents domaines, ce qui est une source considérable d’insécurité juridique. Ces acteurs réclament
alors un cadre juridique harmonisé.
52
V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018)
147 final, p. 36.
53
Préc.
54
V. infra n° 28.
55
https://fr.wikipedia.org/wiki/Grand_collisionneur_de_hadrons: « le plus puissant accélérateur de particules
construit à ce jour ».
56
Préc. note (45).
Page 25 sur 73
B) - L’absence de cadre juridique harmonisé
30 - Tandis que les données à caractère personnel font l’objet d’une réglementation harmonisée
dans l’Union européenne – ce qui est d’ailleurs considéré comme un atout considérable pour la
compétitivité de l’économie européenne – il en est tout autrement des données non personnelles.
Certaines sont couvertes par la directive 96/9, tandis que d’autres ne le sont pas, et la frontière de
démarcation devient ardue à déterminer57
. En outre, d’autres dispositions viennent s’ajouter au cadre
réglementaire relatif aux données industrielles. Certains experts évoquent d’ailleurs la notion de
« patchwork réglementaire58
» où de multiples textes se superposent les uns aux autres pour régir le
même objet : la donnée industrielle. Cette richesse du cadre réglementaire peut être vue comme un
atout, afin de conférer une protection maximale aux données industrielles, mais elle est surtout
appréhendée par les différents acteurs comme une source de complexité accrue.
Dans le sillage des différentes communications de la Commission européenne relatives à
l’économie européenne de la donnée, de multiples rapports émanant de cabinets de consulting, de
chercheurs et autres juristes experts au sein de l’Union européenne ont été consacrés à l’étude du
cadre réglementaire relatif aux données industrielles. La majorité de ces publications ont relevé la
multitude de textes réglementant, d’une manière ou d’une autre, ces types de données. Ces
conclusions ont d’ailleurs été confirmées dans la dernière évaluation de la directive 96/959
, et dans
les rapports des experts60
annexés à cette évaluation. Tout d’abord, le droit sui generis est un des
nombreux mécanismes juridiques qui peut être invoqué pour protéger les données contenues dans
une base de données. D’ailleurs, le texte de la directive prévoit expressément que : « la présente
directive n'affecte pas les dispositions concernant notamment le droit d'auteur, les droits voisins ou
d'autres droits ou obligations subsistant dans les données, les œuvres ou les autres éléments
incorporés dans une base de données, les brevets, les marques, les dessins et modèles, la protection
des trésors nationaux, le droit des ententes et de la concurrence déloyale, le secret des affaires, la
sécurité, la confidentialité, la protection des données personnelles et le respect de la vie privée,
57
V. infra n° 28, 29.
58
B. Van Asbroeck, J. Debussche, J. César, Bird & Bird, Building the European data economy, White paper on data
ownership, 2017, p. 114: “Given that one needs to rely on a patchwork of rights, it might be difficult to define the
scope of protection [...] Such fragmented legal framework is particularly relevant when confronted with emerging
technologies, including big data and cloud computing, as the aggregated, analysed, stored and otherwise used
data may be flowing through different Member States, and may thus be subject to diverging protections.”
59
V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018)
147 final, pp. 31-34, pp. 40-43.
60
V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases, Final report, p. 5, pp. 81-94, pp. 97-140.
Page 26 sur 73
l'accès aux documents publics ou le droit des contrats. » 61
. Le droit de la concurrence apparait
comme une alternative au droit sui generis. Il s’agit cependant d’une protection toute relative car les
législations nationales en matière de concurrence déloyale apparaissent très disparates. Ainsi, alors
que des États comme la France, la République Tchèque, la Belgique, la Hongrie, l’Italie, la Pologne
et la Slovaquie ont prévu dans leur législation une protection contre le parasitisme et la copie servile,
d’autres États62
n’offrent une protection au titre de la copie servile que dans le cadre de circonstances
exceptionnelles. Ces disparités sont encore plus évidentes à travers les jurisprudences des États
membres. Il ressort d’ailleurs de la consultation lancée par la Commission européenne, que plusieurs
experts estiment qu’il n’est pas pertinent de cumuler les règles de protection relatives au droit sui
generis avec celles relatives à la concurrence déloyale. Le Professeur Matthias Leistner a indiqué que
des auteurs reconnus de la doctrine Allemande ont défendu l’idée que le droit sui generis est une
protection de l’investissement, et que les lois relatives à la concurrence déloyale ne devraient pas
trouver à s’y appliquer. Ils estiment que la directive 96/9 devrait être modifiée en spécifiant que les
législations nationales relatives à la concurrence déloyale ne doivent pas s’appliquer en sus du droit
sui generis. Par ailleurs, les dispositions relatives aux « secrets des affaires » viennent aussi s’ajouter
au droit sui generis. La directive 2016/943 sur le secret des affaires63
a été adoptée le 8 juin 2016.
Elle devrait être bientôt faire l’objet d’une transposition dans notre droit national par la proposition
de loi n°675. Elle offre certes une nouvelle couche de protection pour les données, mais son
articulation avec le droit sui generis pourrait être problématique, notamment quant aux différents
niveaux de protection64
. Ceci étant, les deux régimes de protection sont cumulables, étant entendu
que les dispositions relatives aux secrets d’affaires s’appliqueront aux bases de données non encore
publiées. En outre, la fragmentation réglementaire relative aux données tend aussi à se refléter dans
les incohérences qui apparaissent entre la directive 96/9 et d’autres textes tels que la directive relative
à la réutilisation des informations du secteur public (« PSI »)65
et la directive droit d’auteur et droits
voisins dans la société de l’information.
61
Dir. 96/9/CE, 11 mars 1996, JOCE 27 mars, art. 13.
62
La Finlande, l’Allemagne, le Luxembourg, les Pays-Bas, le Portugal, l’Espagne et la Suède.
63
Directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non
divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites
64
V. en ce sens, V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal
protection of databases, Final report, p. 89 et s.
65
Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE
concernant la réutilisation des informations du secteur public.
Page 27 sur 73
Section 2 – L’inefficience de la réglementation, vectrice de stratégies de rétention de données (lock-
in)
31 - Tandis que la directive 96/9 avait notamment pour but d’harmoniser les dispositions
relatives à la protection des bases de données dans l’UE, les incertitudes quant à son application dans
le cadre des données générées par des machines et la multiplication des dispositions qui peuvent
potentiellement régir l’usage de ces données a rendu la réglementation complexe et non harmonisée.
Dans ce contexte, le contrat est apparu comme l’outil privilégié pour les différents acteurs de
l’économie de la donnée. Pourtant, cette situation n’est pas satisfaisante car les contrats régissant
l’accès, le partage et la réutilisation des données industrielles traduisent d’importantes asymétries
entre acteurs en favorisant les situations de lock-in (A). D’ailleurs, laisser les données générées par
des machines à la seule régulation par le contrat constituerait une nouvelle source d’insécurité
juridique compte-tenu des limites du droit contractuel (B). Enfin, face à toutes ces incertitudes, les
acteurs privilégient les mesures techniques de protection. Elles doivent cependant être encadrées car
elles constituent des barrières à la libre circulation des données dans l’Union européenne (C).
A) - Le contrat : support juridique des stratégies de « lock-in » traduisant des asymétries entre acteurs
32 - En janvier 2017, la Commission européenne66
, se basant sur les rapports consacrés aux
problématiques d’accès et propriété des données67
, a identifié l’outil contractuel comme étant un des
freins à la libre circulation des données. Tout d’abord, il est important de noter que les contrats relatifs
à l’exploitation d’une base de données ne sont pas soumis au même cadre juridique que les contrats
qui encadrent l’exploitation des données elles-mêmes, en tant que tel. En effet, les contrats
d’exploitation d’une base de données sont soumis au respect des dispositions de la directive 96/968
.
Cette précision est d’importance car ici, la liberté contractuelle fait l’objet de limitations importantes
afin d’assurer l’équilibre entre intérêts économiques des fabricants de bases de données et droit des
utilisateurs. Ainsi, la directive prévoit en son article 15 que « toute disposition contractuelle contraire
66
European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01-
2017, p. 16.
67
V. not. Legal study on ownership and access to data, p. 79; https://bookshop.europa.eu/en/legal-study-on
ownership-and-access-to-data-pbKK0416811/.
68
V. sur ce point, E. Derclaye, An economic analysis of the contractual protection of databases, University of
Illinois Journal of Law, Technology and Policy. 1(2), 247-271, p. 14.
Page 28 sur 73
à l'article 6 paragraphe 1 et à l'article 8 est nulle et non avenue. ». Les articles susvisés garantissent
le respect des droits des utilisateurs légitimes de bases de données, notamment le droit d’extraction
et de réutilisation de parties non substantielles du contenu de la base. Qu’en est-il alors des contrats
relatifs aux bases de données (ou aux données en tant que tel) qui ne sont pas couvertes par le droit
sui generis ? La solution est apportée par l’arrêt Ryanair69
de la Cour de justice. Selon la Cour : « les
articles 6, paragraphe 1, 8 et 15 de cette directive, qui instituent des droits revêtant un caractère
impératif en faveur des utilisateurs légitimes d'une base de données, ne sont pas applicables à une
base de données qui n'est protégée ni par le droit d'auteur ni par le droit sui generis en vertu de ladite
directive » (pt. 39). Elle poursuit en estimant que « les articles 6, paragraphe 1, 8 et 15 de ladite
directive ne font pas obstacle à ce que le créateur d'une telle base de données établisse des limitations
contractuelles à l'utilisation de celle-ci par des tiers » (pt. 45). Il s’agit d’une solution à la fois logique
et paradoxale. Logique car les dispositions impératives de la directive 96/9 ne peuvent s’appliquer
qu’aux bases de données qui entrent dans son champ d’application. Mais paradoxale car, au final,
quelle est la meilleure protection pour un fabricant de bases de données ? Le droit sui generis ou le
contrat ? Les fabricants de bases de données dans la Data driven economy n’auraient-ils pas intérêt,
afin de jouir d’une totale liberté contractuelle, à ce que leurs bases de données n’entrent pas dans le
champ d’application de la directive ? Peut-être que la jurisprudence Ryanair marque en ce sens un
constat d’échec de la directive70
? Il est d’ailleurs intéressant de constater que 58% des experts
consultés dans le cadre de l’évaluation de la directive considèrent que les contrats offrent une
protection comparable, voir encore plus forte que celle conférée par le droit sui generis71
.
33 - Liberté contractuelle donc, notamment pour les fabricants de bases constituées de données
générées par des machines dont la plupart ne sont pas couvertes par le droit sui generis… En pratique,
les acteurs en ont tiré les conclusions, utilisant leur liberté contractuelle sans restrictions, parfois72
jusqu’à en abuser. C’est ainsi que les contrats qui encadrent l’accès et le partage de données,
notamment des données générées par des machines, contiennent le plus souvent des clauses
relativement complexes qui prévoient notamment des restrictions importantes quant à l’accès des
données, au partage des données, et dans de nombreux cas, la propriété des données. Ces contrats
69
CJUE, 2e ch., 15 janv. 2015, aff. C-30/15, Ryanair Ltd c/PR Aviation BV : Juris-Data n° 2015-002578 ; RIDA
2/2015, p. 319 et p. 301, obs. P. Sirinelli ; Auteurs et médias 2015, p. 181, obs. M. Lambrecht ; Propr. intell. 2015,
n° 55, p. 211, obs. C. Bernault ; Propr. intell. 2016, n° 58, p. 97, obs. M. Vivant ; Comm. com. électr. 2015, comm.
10, obs. C. Caron ; RLDI mars 2015, n° 3685, obs. C. Castets-Renard ; Propr. industr. 2015, comm. 71, note J.
Larrieu ; RDC 2015, n° 2, p. 348, note J. Passa.
70
V. Avis de Me Nicolas Courtier dans : Bases de données, une protection obsolète, Expertises des systèmes
d’information, juin 2017, p. 221.
71
20% des experts pensent que les contrats offrent une protection comparable au droit sui generis, tandis que
38% estiment que les contrats offrent une protection encore plus forte : V. European commission, Study in
support of the evaluation of Directive 96/9/EC on the legal protection of databases, Final report, p. 86.
72
Souvent, si l’on en croit la Commission…
Page 29 sur 73
sont au fil des années devenus tellement courants que les différents acteurs de cette économie tendent
à penser qu’ils sont titulaires d’un véritable droit de propriété sur les données générées. Les clauses
contractuelles contenues dans des contrats présentés en annexe de rapports73
consacrés à
l’encadrement de l’accès et la réutilisation des données sont à ce titre très instructives :
• « XXX would be the sole and exclusive owner of all the data generated by the devices, among others
and without limitation, mathematical algorithms, know-how, procedures, operations, methods - that
do not correspond with personal data of identified or identifiable persons as well as all the rights of
intellectual and industrial property that could derive from its exploitation. »
• INTELLECTUAL PROPERTY RIGHTS OWNERSHIP
« The Licensee acknowledges that: all Intellectual Property Rights in the Data and the Manipulated
Data are the property of the Supplier or its licensors, as the case may be ; it shall have no rights in
or to the Data or the Manipulated Data other than the right to use them in accordance with the
express terms of this Agreement; »
Nous comprenons donc aisément que la majorité74
des réponses au questionnaire de la Commission
européenne dans le cadre de la consultation relative à la révision de la directive, fait état des
inquiétudes de nombreux acteurs quant à ce type de clauses contractuelles qui constituent de très
importantes restrictions à l’accès des données75
.
Au-delà de toutes ces considérations, le contrat peut montrer certaines limites de le cadre de
la Data driven economy.
B) - Les limites du droit contractuel
34 - La première difficulté réside dans le manque d’harmonisation du droit des contrats dans
l’Union européenne. Le « droit européen des contrats » n’est qu’un projet. Il existe des « Principes
du droit européen des contrats76
», qui ont été dégagés par la Commission présidée par Ole Lando, un
professeur danois qui a réuni un groupe de travail composé d'universitaires issus de plusieurs
73
V. not. Legal study on ownership and access to data, p. 147 et s.; https://bookshop.europa.eu/en/legal-study-
on ownership-and-access-to-data-pbKK0416811/
74
Au moins 70% des réponses.
75
Préc..
76
V. Rémy-Corlay P. et Fenouillet D. (sous la dir.), Les concepts contractuels français à l'heure des Principes
du droiteuropéen des contrats, Dalloz, 2003 ; Prieto C. (sous la dir.), Regards croisés sur les concepts
du droit européen des contrats, PUAM, 2004.
Page 30 sur 73
pays européens, mais il s'agit d'une initiative privée, indépendante et sans valeur obligatoire. Il en
résulte que le système actuel du droit des contrats consiste en un « patchwork » de 28 systèmes
nationaux77
. Ces systèmes nationaux sont marqués par d’importantes différences relatives à des
aspects essentiels du droit des contrats tels que les modalités de conclusion, les régimes de
responsabilité, etc. Aussi, la juxtaposition des systèmes de Common law et de droit civil au sein de
l’Union européenne témoigne du manque d’harmonisation. De plus, même au sein d’un même
système, il existe des disparités entre les législations États membres. Ainsi, les flux de données étant,
par nature, transfrontières, de telles disparités entre les lois applicables aux contrats régissant leur
exploitation peuvent être problématiques.
35 - Une autre limite importante de l’efficience des contrats est constituée par l’effet relatif
des contrats. Ainsi, si les contrats relatifs à l’exploitation des bases de données couvertes par le droit
sui generis sont opposables erga omnes – ce qui est une des caractéristiques des droits de propriété
intellectuelle – il en est autrement des contrats relatifs aux données situées hors du champ
d’application de la directive 96/9. Seules les parties sont liées par les obligations naissant de ces
contrats. Il s’agit d’une différence importante dont les conséquences peuvent être encore plus
marquées dans l’économie de la donnée. Ainsi, un acteur peut-il interdire aux tiers d’accéder aux
données sur la seule base du contrat ? Cette question, cruciale dans l’économie de la donnée, mérite
de faire l’objet d’une analyse approfondie. À ce stade de notre réflexion, nous estimons que de telles
clauses contractuelles ne peuvent avoir pour effet de priver les tiers de leurs droits d’accès aux
données78
.
Par ailleurs, quid de la validité d’une clause contractuelle prévoyant expressément la
« propriété des données » ? Il est en effet légitime de penser que de telles clauses, qui reposent sur
une croyance erronée relative à la propriété des données, peuvent être remises en cause en cas de
litige79
. De plus, la validité de clauses par lesquelles une des parties clame détenir des droits de
propriété intellectuelle sur les données objets du contrat peut, elle aussi être remise en cause. À titre
d’exemple, dans la clause reproduite ci-dessous, est indiqué : « Intellectual property rights
ownership : all Intellectual Property Rights in the Data and the Manipulated Data are the property
of the Supplier ». Il convient alors de s’interroger : de quels droits de propriété intellectuelle sur les
données s’agit-il ? Il n’existe à l’heure actuelle aucun droit de propriété intellectuelle sur les données
en tant que tel. La Commission européenne a, certes, lancé l’idée de la création d’un droit des
77
B. Van Asbroeck, J. Debussche, J. César, Bird & Bird, Building the European data economy, White paper on data
ownership, 2017, p. 115.
78
S’il s’agit de données sensibles pour l’entreprise, qui ne sont pas couvertes par le droit sui generis, elles
devraient cependant faire l’objet d’une protection au titre des dispositions relatives aux secrets des affaires.
79
V. en ce sens : J.-J. Le Pen, Le Big data pour la MRO à l’épreuve du débat sur la propriété des données non
personnelles, https://www.journal-aviation.com
Page 31 sur 73
producteurs de données80
(avec pour effet de consacrer un nouveau droit exclusif sur la donnée), mais
il ne s’agit que d’une proposition81
.
Face à ces incertitudes, les mesures techniques de protection apparaissent comme un outil
privilégié pour encadrer les conditions d’accès aux données.
C) - Les mesures techniques de protection : restriction technique de l’accès aux données
36 - Les mesures techniques de protection82
font l’objet d’une utilisation courante depuis de
nombreuses années afin de protéger le contenu des bases de données. Consacrées par les Traités
OMPI83
dès 1996, ces mesures techniques ne figurent pas dans la directive 96/9. En revanche,
l’implémentation a été effectuée par la directive 2001/29/CE sur l'harmonisation de certains aspects
du droit d'auteur et des droits voisins dans la société de l'information du 22 mai 2001 qui prévoit en
son article 6 : « Aux fins de la présente directive, on entend par "mesures techniques", toute
technologie, dispositif ou composant qui, dans le cadre normal de son fonctionnement, est destiné
à empêcher ou à limiter, en ce qui concerne les œuvres ou autres objets protégés, les actes non
autorisés par le titulaire d'un droit d'auteur ou d'un droit voisin du droit d'auteur prévu par la loi,
ou du droit sui generis prévu au chapitre III de la directive 96/9/CE », « Lorsque le présent article
est appliqué dans le cadre des directives 92/100/CEE et 96/9/CE, le présent paragraphe s'applique
mutatis mutandis. ». La directive 96/9 est donc expressément visée. La transposition de cette
directive dans notre droit national a été effectuée par la loi n° 2006-961, relative au droit d'auteur et
aux droits voisins dans la société de l'information, votée le 1er
août 2006. Les dispositions
spécifiques aux bases de données sont présentes aux articles L. 342-3-1 et L. 342-3-2 du Code de la
propriété intellectuelle. Les mesures techniques peuvent en pratique restreindre les droits des
utilisateurs, en particulier ceux qui bénéficient de certaines exceptions aux droits de propriété
intellectuelle. Concernant les bases de données, nous pouvons penser que l’articulation entre le
80
European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01-
2017, p. 13.
81
Proposition qui a fait l’objet de vives contestations de la part de nombreux acteurs et experts dans l’Union
européenne ; V. en ce sens : https://cnnumerique.fr/files/uploads/2017/04/AvisCNNum_FFoD_VFinale.pdf, avis
du CNNUM ; C. Zolynski, Un nouveau droit de propriété intellectuelle pour valoriser les données : le miroir aux
alouettes ?, Dalloz IP/IT 2018 p.94.
82
TPM (en anglais)
83
Ces traités imposent une “protection juridique appropriée et des sanctions juridiques efficaces contre la
neutralisation des mesures techniques efficaces qui sont mises en œuvre par les auteurs dans le cadre de
l'exercice de leurs droits en vertu du présent traité et qui restreignent l'accomplissement, à l'égard de leurs
œuvres, d'actes qui ne sont pas autorisés par les auteurs concernés ou permis par la loi” (Traité sur le droit
d'auteur, art. 11 ; rédaction identique Traité sur les interprétations et exécutions et les phonogrammes, art. 18).
Page 32 sur 73
régime de la directive 2001/29/CE et celui de la directive 96/9 peut être problématique. En effet,
l’article 6 de la directive 96/9 prévoit que « l'utilisateur légitime d'une base de données ou de copies
de celle-ci peut effectuer tous les actes visés à l'article 5 qui sont nécessaires à l'accès au contenu
de la base de données et à son utilisation normale par lui-même sans l'autorisation de l'auteur de
la base. ». Qu’en est-il de l’effectivité de ces droits face aux mesures techniques de protection ?
37 - L’étude des questionnaires relatifs à la consultation au sein de l’Union dans le cadre de la
révision de la directive révèle que les mesures techniques de protection sont très utilisées pour
protéger le contenu des bases de données84
. 73% des fabricants de bases de données indiquent avoir
recours aux mesures techniques (de manière forte à plus ou moins modérée) pour protéger le contenu
de leurs bases de données, tandis que seulement 52% évoquent la protection par le droit sui generis.
Ces chiffres sont très évocateurs quant à l’utilisation des mesures de protection.
En réaction à cette utilisation massive des mesures de protection, de nombreux acteurs ont
exprimé leurs inquiétudes quant à l’effet disproportionné de ces mesures qui, au final, restreignent
l’accès et la réutilisation des données contenues dans les bases de données, sans aucune limitation.
C’est ainsi que le Professeur Matthias Leistner a estimé que les mesures techniques de protection ne
devraient pas être utilisés de manière à restreindre les droits des utilisateurs consacrés à travers les
exceptions et les droits de l’utilisateur légitime85
.
38 - Dans la Data driven economy, compte-tenu de l’importance de la libre circulation des
données dans l’Union européenne, les mesures techniques de protection et leur effets restrictifs quant
à cette liberté de circulation doivent aussi être analysés en profondeur. Une des questions cruciales
soulevées par l’usage des mesures de protection dans l’économie de la donnée, concerne leur
légitimité juridique dans le cadre des bases de données non couvertes par le droit sui generis. En effet,
si la jurisprudence Ryanair a contribué à légitimer l’usage des contrats pour protéger le contenu des
bases de données, et que par essence, la liberté contractuelle s’applique pleinement à ces contrats –
puisqu’ils sont situés hors champs du droit sui generis86
– la solution peut-elle est valablement
identique concernant les mesures techniques de protection ? Nous répondons par la négative en
rappelant que les mesures techniques de protection ont été consacrées afin de garantir l’effectivité
des prérogatives de la propriété intellectuelle. En l’absence de droit de propriété intellectuelle, dans
les situations non couvertes par le droit sui generis, les mesures techniques de protection perdent
toute légitimité juridique. Ce point très important a d’ailleurs été développé par les experts mandatés
par le Commission européenne dans le cadre de la révision de la directive 96/9. Les conséquences
pratiques de ces conclusions sont considérables et devraient contribuer à remettre en cause l’usage de
84
V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of
databases, Final report, p. 84.
85
Préc. note (84).
86
V. en ce sens infra n° 33.
Page 33 sur 73
mesures techniques de protection injustifiées dans le cadre de l’économie de la donnée. Un
changement de paradigme dans la gouvernance des données s’impose.
Après avoir consacré notre analyse aux raisons, tant techniques, juridiques et économiques qui
nécessitent une révision de la directive 96/9 dans le cadre de l’économie de la donnée, il convient à
présent d’étudier les orientations qui doivent guider cet effort réformateur. La directive 96/9 doit en
effet s’inscrire pleinement dans l’objectif général de libre circulation des données dans l’Union
européenne
PARTIE II – UNE RÉVISION DE LA DIRECTIVE S’INSCRIVANT DANS LA
PROMOTION D’UNE LIBERTÉ DE CIRCULATION DES DONNÉES
39 - Dans une résolution en date du 19 janvier 2016 intitulée « Vers un acte sur le marché
unique numérique », le Parlement européen estime que la directive 96/9 « constitue un obstacle au
développement d'une économie européenne fondée sur les données » et « invite la Commission à
assurer un suivi des possibilités politiques d'annuler la directive ». Cette solution qui se base sur la
première évaluation de la directive effectuée en 2005, est probablement trop radicale, mais elle a le
mérite d’interroger sur le rôle que joue la directive dans l’économie européenne des données. La
Commission européenne, dans sa communication de janvier 2017 intitulée « Building a european
data economy », n’identifie pas la directive 96/9 comme étant constitutive d’une des barrières à
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste
L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste

Más contenido relacionado

Similar a L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste

Net gain-resume
Net gain-resumeNet gain-resume
Net gain-resumeSmartwords
 
Si dans le tourisme
Si dans le tourismeSi dans le tourisme
Si dans le tourismeHassan Amibh
 
Rapport fintech 2020 reprendre l'initiative-23 oct15
Rapport fintech 2020 reprendre l'initiative-23 oct15Rapport fintech 2020 reprendre l'initiative-23 oct15
Rapport fintech 2020 reprendre l'initiative-23 oct15jeanrognetta
 
Copie giz2014 fr-energies-renouvables-tunisie
Copie giz2014 fr-energies-renouvables-tunisieCopie giz2014 fr-energies-renouvables-tunisie
Copie giz2014 fr-energies-renouvables-tunisieBernard Cyr
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...Michel Jaccard
 
Rapport du groupe de travail ethique du numérique
Rapport du groupe de travail ethique du numérique   Rapport du groupe de travail ethique du numérique
Rapport du groupe de travail ethique du numérique Le Point
 
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...CHINE : Les objets connectés comme solution aux défis de l’environnement. #...
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...wOrldconnected
 
Chaire Machine Learning for Big Data
Chaire Machine Learning for Big DataChaire Machine Learning for Big Data
Chaire Machine Learning for Big DataTélécom Paris
 
Industrie du futur : concepts et état des lieux
Industrie du futur : concepts et état des lieuxIndustrie du futur : concepts et état des lieux
Industrie du futur : concepts et état des lieuxLa Fabrique de l'industrie
 
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016Xavier Decoster
 
Proposition de loi de Bernard Carayon sur le secret des affaires
Proposition de loi de Bernard Carayon sur le secret des affairesProposition de loi de Bernard Carayon sur le secret des affaires
Proposition de loi de Bernard Carayon sur le secret des affairesdroiteindustrielle
 
Rapport credoc-diffusion-tic-2011
Rapport credoc-diffusion-tic-2011Rapport credoc-diffusion-tic-2011
Rapport credoc-diffusion-tic-2011mariusmez
 
La diffusion des technologies de l'information et de la communication en France
La diffusion des technologies de l'information et de la communication en FranceLa diffusion des technologies de l'information et de la communication en France
La diffusion des technologies de l'information et de la communication en FranceMarketingZ
 
Filtres, prescription et recommandation dans le marché de la VOD
Filtres, prescription et recommandation dans le marché de la VODFiltres, prescription et recommandation dans le marché de la VOD
Filtres, prescription et recommandation dans le marché de la VODDimitri Gasulla
 
Théorie des organisations
Théorie des organisationsThéorie des organisations
Théorie des organisationsAmina Yahyai
 
Théorie des organisations
Théorie des organisationsThéorie des organisations
Théorie des organisationsAmina Yahyai
 
Premier rapport annuel 2015-2016 Renseignement
Premier rapport annuel 2015-2016 RenseignementPremier rapport annuel 2015-2016 Renseignement
Premier rapport annuel 2015-2016 RenseignementSociété Tripalio
 

Similar a L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste (20)

Credoc diffusiondes tic_2012
Credoc diffusiondes tic_2012Credoc diffusiondes tic_2012
Credoc diffusiondes tic_2012
 
Net gain-resume
Net gain-resumeNet gain-resume
Net gain-resume
 
Introduction
IntroductionIntroduction
Introduction
 
Si dans le tourisme
Si dans le tourismeSi dans le tourisme
Si dans le tourisme
 
Rapport fintech 2020 reprendre l'initiative-23 oct15
Rapport fintech 2020 reprendre l'initiative-23 oct15Rapport fintech 2020 reprendre l'initiative-23 oct15
Rapport fintech 2020 reprendre l'initiative-23 oct15
 
Copie giz2014 fr-energies-renouvables-tunisie
Copie giz2014 fr-energies-renouvables-tunisieCopie giz2014 fr-energies-renouvables-tunisie
Copie giz2014 fr-energies-renouvables-tunisie
 
De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...De la protection des données personnelles à la sécurisation des données conne...
De la protection des données personnelles à la sécurisation des données conne...
 
Rapport du groupe de travail ethique du numérique
Rapport du groupe de travail ethique du numérique   Rapport du groupe de travail ethique du numérique
Rapport du groupe de travail ethique du numérique
 
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...CHINE : Les objets connectés comme solution aux défis de l’environnement. #...
CHINE : Les objets connectés comme solution aux défis de l’environnement. #...
 
Chaire Machine Learning for Big Data
Chaire Machine Learning for Big DataChaire Machine Learning for Big Data
Chaire Machine Learning for Big Data
 
Cours réseauxf
Cours réseauxfCours réseauxf
Cours réseauxf
 
Industrie du futur : concepts et état des lieux
Industrie du futur : concepts et état des lieuxIndustrie du futur : concepts et état des lieux
Industrie du futur : concepts et état des lieux
 
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016
Banque mondiale - Note stratégique sur le haut débit au Maroc - 2016
 
Proposition de loi de Bernard Carayon sur le secret des affaires
Proposition de loi de Bernard Carayon sur le secret des affairesProposition de loi de Bernard Carayon sur le secret des affaires
Proposition de loi de Bernard Carayon sur le secret des affaires
 
Rapport credoc-diffusion-tic-2011
Rapport credoc-diffusion-tic-2011Rapport credoc-diffusion-tic-2011
Rapport credoc-diffusion-tic-2011
 
La diffusion des technologies de l'information et de la communication en France
La diffusion des technologies de l'information et de la communication en FranceLa diffusion des technologies de l'information et de la communication en France
La diffusion des technologies de l'information et de la communication en France
 
Filtres, prescription et recommandation dans le marché de la VOD
Filtres, prescription et recommandation dans le marché de la VODFiltres, prescription et recommandation dans le marché de la VOD
Filtres, prescription et recommandation dans le marché de la VOD
 
Théorie des organisations
Théorie des organisationsThéorie des organisations
Théorie des organisations
 
Théorie des organisations
Théorie des organisationsThéorie des organisations
Théorie des organisations
 
Premier rapport annuel 2015-2016 Renseignement
Premier rapport annuel 2015-2016 RenseignementPremier rapport annuel 2015-2016 Renseignement
Premier rapport annuel 2015-2016 Renseignement
 

L'opportunité d'une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d'une économie européenne de la donnée. Par Sidy Juste

  • 1. Page 1 sur 73 Mémoire de Master 2 - Propriété intellectuelle et droit des affaires numériques L’opportunité d’une révision de la directive 96/9/CE sur la protection juridique des bases de données dans le cadre de la construction d’une économie Européenne de la donnée. Réalisé par Sidy Juste, dans le cadre de la formation continue. Sous la direction de Madame le Professeur Célia Zolynski et Maître Florence Gaullier. Ce mémoire a fait l’objet d’une soutenance en juillet 2018, le jury universitaire lui a attribué la note de 15/20. À jour de la dernière évaluation de la directive 96/9/CE publiée le 25 avril 2018. Année Universitaire 2017-2018
  • 2. Page 2 sur 73 Tables des matières Introduction…………………...……………………………………………………………………… 5 PARTIE I – L’ÉCONOMIE EUROPÉENNE DE LA DONNÉE : UN NOUVEL ENJEU NÉCESSITANT UNE RÉVISION DE LA DIRECTIVE 96/9/CE…………. 11 Chapitre I – La relative inadéquation de la directive face à l’émergence de l’économie fondée sur la donnée....................................................................................................................................................... 11 Section 1 – Les objectifs et le régime de la directive confrontés au nouvel écosystème de la data……. 12 A) - La désuétude de l’objectif d’encouragement à la création de bases de données………………...... 12 B) - La perte de pertinence du concept de bases de données statiques à l’ère du Big data…………..... 13 C) - Le droit sui generis : un obstacle aux nouvelles techniques du Big data…………………………. 15 Section 2 – Le champ d’application restreint du droit sui generis dans l’économie fondée sur la donnée…………………………………………………………………………………………............... 18 A) - La qualification juridique des données générées par des machines (M2M) : distinction « données créées » / « données obtenues » …………………………………………………...…………...…..…... 18 B) - Le critère discriminant de « l’investissement substantiel » dans le cadre des données générées par des machines………………………………………………………………...………………………….. 20 Chapitre II – Une inadéquation qui constitue une entrave au développement de l’économie européenne de la donnée………………………………………………..…………………………………………… 21 Section 1 – Les incertitudes émaillant le cadre réglementaire relatif aux données générées par des machines : sources d’insécurité juridique……………………………...……………………………….. 21 A) - Incertitudes dans les situations encore couvertes par le droit sui generis......................................... 22 B) - L’absence de cadre juridique harmonisé………………………………..………………………..... 25
  • 3. Page 3 sur 73 Section 2 – L’inefficience de la réglementation, vecteur de stratégies de rétention de données (lock- in)…………………………………………………………………………………………………......… 27 A) - Le contrat : support juridique des stratégies de « lock-in » traduisant des asymétries entre acteurs…………………………………………………………………………………………………... 27 B) - Les limites du droit contractuel………………………………………………………..………….. 39 C) - Les mesures techniques de protection : restriction technique de l’accès aux données……....……. 31 PARTIE II – UNE RÉVISION DE LA DIRECTIVE S’INSCRIVANT DANS LA PROMOTION D’UNE LIBERTÉ DE CIRCULATION DES DONNÉES………….. 33 Chapitre I – Penser les instruments pour une meilleure adaptation de la directive avec le caractère fluide et dynamique de la donnée……………………………………………………………………............... 34 Section 1 – Les ajustements nécessaires du droit sui generis………………………………………....... 35 A) - La promotion d’une approche « fonctionnelle » du droit sui generis…………………………….. 35 B) - La nécessaire clarification de la portée et du champ d’application du droit sui generis dans le cadre des données M2M…………………………………………………………………………….….......…..38 C) - La nécessaire clarification de la titularité du droit sui generis dans l’économie fondée sur les données…………………………………………………………………………………………………. 40 Section 2 – la révision du régime des exceptions et limitations……………………………………....... 43 A) - La consécration d’une exception pour la fouille de textes et de données (Text & data mining)...... 43 B) - Les droits de l’utilisateur légitime : consécration d’un droit d’extraction et réutilisation de parties substantielles………………………………………………………………………...……………..…… 46 C) - Mise en conformité des bases de données détenues par des personnes publiques en application de la directive « PSI » et des politiques d’Open data………………………………………………………. . 48
  • 4. Page 4 sur 73 Section 3 – La création d’un nouveau droit des « producteurs de données » : une solution contraire aux objectifs de libre circulation des données…………………………………………...…………………. 50 A) - La complexification du droit applicable aux données industrielles : conséquence probable de la consécration d’une approche propriétaire des données industrielles………………………………..….. 50 B) - La non pertinence d’un nouveau droit de propriété intellectuelle à l’heure du Big data………….. 53 Chapitre II – Une politique générale offensive pour l’accès et la mutualisation des données industrielles…………………………………………………………………………………………….. 54 Section 1 – L’adoption d’instruments juridiques contraignants favorisant l’accès aux données au niveau sectoriel………………………………………………………………………………………………… 55 A) - Obligations de mise à disposition sous licences non discriminatoires des « données en tant qu’infrastructures »…………………………………………………………………….……………….. 56 B) - Mise en place de clauses contractuelles types de la Commission européenne encadrant l’accès et la réutilisation des données……………………………………………………………………….……….. 68 C) - Mise en place de règles d’entreprise contraignantes (BCR) assurant l’effectivité de l’accès aux données………………………………………………………………………………………………… 60 Section 2 – La mise en place d’instruments juridiques non contraignants d’incitation au partage de données………………………………………………………………………………………………… 61 A) - L’adoption d’une Recommandation (UE) de la Commission européenne sur les modalités de partage de données dans le cadre de grands projets européens…………………………...………..…... 62 B) - L’expérimentation de politiques publiques sectorielles de partage de données sur le modèle de l’US Bureau of Transportations…………………………………………………………………………..…. 64 Conclusion…………………………………………………………………………………...……… 66
  • 5. Page 5 sur 73 INTRODUCTION « Aujourd'hui, la véritable richesse n'est pas concrète, elle est abstraite. Elle n'est pas matérielle, elle est immatérielle. C'est désormais la capacité à innover, à créer des concepts et à produire des idées qui est devenue l'avantage compétitif essentiel. Au capital matériel a succédé, dans les critères essentiels de dynamisme économique, le capital immatériel ou, pour le dire autrement, le capital des talents, de la connaissance, du savoir1 ». C’était il y a douze ans, Maurice Lévy et Jean-Pierre Jouyet s’interrogeaient déjà sur la « croissance de demain2 », qui serait portée par l’économie de l’immatériel. Aujourd’hui, nous y sommes. Nos sociétés vivent de profondes mutations à l’heure de la transformation numérique. L’économie dans son ensemble, tend à être guidée par les données. 1 - L’ère de l’économie numérique est caractérisée par une croissance exponentielle de la création de données et des nouvelles technologies qui permettent de les traiter et de les exploiter. Elles permettent de les enrichir et d’en retirer l’information la plus pertinente possible. Cette information, toujours plus riche et plus rapidement disponible (voir disponible en temps réel), augmente la vitesse et l’ampleur du renouvellement de la connaissance au sein de l’économie et de la société dans son ensemble. Les données tendent alors à devenir un carburant, une matière première sans laquelle nos systèmes – systèmes d’information, mais pas uniquement – nos machines, nos villes et nos transports, ne peuvent fonctionner de manière optimale. Les métaphores d’origine anglo- saxonnes nous renvoient d’ailleurs à l’image du pétrole : « data is the new oil », « data fuel the economy ». Les données viendraient donc irriguer, alimenter l’économie. En ce sens, il convient d’ailleurs de distinguer la donnée avec l’information, car la donnée est dotée d’une valeur ajoutée technologique de nature à permettre son exploitation numérique. 2 - Tout comme le pétrole, les données sont fluides, et si elles irriguent l’économie, c’est qu’elles constituent un flux permanent. Peut-être alors est-il difficile d’appréhender et de définir ce flux. Nous constatons alors que volontairement, le droit ne lui consacre pas une véritable définition singulière. Cela est parfaitement justifié car la donnée – ou les données – constitue une notion plurielle et multiforme, qui nécessite des acceptions multiples. La donnée est un objet de droit, identifié et saisi par un foisonnement législatif et réglementaire, tant à l’échelle nationale qu’européenne. Ces textes, nombreux, viennent encadrer et régir les données en fonction de « l'objet mis en données, [de] 1 M. Lévy et J.-P. Jouyet, L'économie de l'immatériel : la croissance de demain, Rapport, déc. 2006. 2 V. préc.
  • 6. Page 6 sur 73 la personne dont elles émanent ou encore au vu de la fonction que l'on tend à leur assigner3 ». Ainsi, les données peuvent être à caractère personnel, et se rapporter à une personne physique identifiée ou identifiable et impliquer, à l’heure du traitement et l’exploitation massive des données relatives aux individus par les géants du numérique, des questions cruciales relatives notamment à la vie privée et à la citoyenneté numérique. Dans ce cadre, ses usages nécessitent donc une réglementation claire et contraignante. Le droit des données à caractère personnel, droit fondamental, consacré notamment par la Charte des droits fondamentaux de l'Union Européenne en son article 8, est un droit étroitement lié au droit au respect de la vie privée consacré à l’article précédant de la même Charte. Le droit des données à caractère personnel est aujourd’hui mis en lumière par l’entrée en application du règlement général sur la protection des données4 (RGPD). Il s’agit pour le législateur européen de créer un cadre renforcé et harmonisé de la protection des données à caractère personnel en tenant compte des évolutions technologiques importantes des dernières années, notamment le traitement massif des données dans le cadre du Big data, le traitement des données au moyen d’objets physiques accompagnant nos activités quotidiennes, à savoir les objets connectés. L’individu personne physique est ainsi placé au cœur de la réglementation, en voyant ses droits existants renforcés ou de nouveaux droits consacrés (obligation d’information, recueil du consentement, droit à la portabilité des données, droit à l’oubli numérique). Les données peuvent aussi être publiques, ou tout du moins produites par des personnes morales de droit public, et faire l’objet de politiques dites d’Open data, d’ouverture des données, afin de favoriser l'innovation, la croissance et une gouvernance transparente. La directive 2003/98/CE du 17 novembre 20035 a instauré un régime de réutilisation des informations publiques qui alimente très largement le mouvement d’ouverture. Ces données, principalement communiquées par les pouvoirs publics, sont accessibles à tous et peuvent librement être réutilisées. Par exemple, la plateforme « data.gouv.fr », permet aux services publics de publier des données publiques et à la société civile de les enrichir, modifier, interpréter en vue de coproduire des informations d’intérêt général. Enfin, il y a toutes les autres données, celles qui ne relèvent pas du régime des données à caractère personnel car elles ne sont pas relatives aux personnes physiques, soit qu’elles aient fait l’objet d’anonymisation rendant toute tentative d’identification infructueuse, soit qu’elles soient non personnelles par nature (données générées par des machines relatives à des paramètres météorologiques, techniques, industrielles, etc). Ces données sont peut-être encore plus hétérogènes que les données évoquées précédemment. Elles sont ainsi difficilement saisies par le droit. Pourtant, 3 V. C. Zolynski, Un nouveau droit de propriété pour valoriser les données : le miroir aux alouettes ?, Dalloz IP/IT 2018 p.94. 4 Règlement (UE) 2016/679 du 27 avril 2016. 5 Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public.
  • 7. Page 7 sur 73 de multiples textes s’y appliquent, de manière directe ou indirecte. Le nombre de données industrielles produites par les entreprises a augmenté de manière exponentielle ces dernières années. Leur exploitation est devenue une source importante de croissance économique. Devenues des actifs immatériels, leur valeur nécessitait que des instruments juridiques viennent encadrer leur exploitation. Ainsi, les données peuvent être des informations secrètes, qui ont une valeur commerciale (parce qu’elles sont secrètes), et ont fait l’objet, de la part de la personne qui en a licitement le contrôle, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes6 . Elles relèvent alors du « secret des affaires » et des dispositions de la directive 2016/943 sur le secret des affaires, adoptée le 8 juin 2016. Les données peuvent également, lorsqu’elles sont regroupées dans des bases de données, faire l’objet d’une protection indirecte qui ne s’applique pas aux données en tant que tel, mais servent à couvrir l’investissement substantiel réalisé par le fabricant de cette base de données pour l’obtention du contenu de la base. Cette protection a été consacrée par la directive 96/9/CE relative à la protection juridique des bases de données7 . C’est ce texte qui sera l’objet de notre présente étude. 3 - Les données, sources de croissance économique, sont désormais au cœur des politiques publiques européennes. Elles monopolisent l’attention des institutions, dont la Commission européenne, et sont intégrées dans un projet global : la construction du marché unique numérique au sein de l’Union européenne. Dans le prolongement de la stratégie de Lisbonne, la stratégie Europe 20208 , présentée par la Commission dans sa communication du 3 mars 2010 intitulée « Europe 2020 - Une stratégie pour une croissance intelligente, durable et inclusive », a exposé sept initiatives phares, comprenant la stratégie numérique. L’Union reconnait alors le rôle essentiel des technologies de l’information et de la communication dans le cadre de ses objectifs à l’horizon 2020. Par ailleurs, le Parlement européen considère que le marché unique numérique est un des domaines de progrès qui recèle le plus de promesses. Dans le même temps, dans une communication du 19 mai 2010 intitulée « Une stratégie numérique pour l’Europe », la Commission pose les bases de sa stratégie numérique. Le principal objectif est de développer un marché unique numérique afin de conduire l’Union européenne vers une croissance intelligente, durable et intégratrice. Par la suite, une nouvelle stratégie a été présentée par la Commission, le 6 mai 2015, dans le prolongement de la première. C’est ainsi que la « Stratégie pour un marché unique numérique » a été adoptée, elle repose sur trois piliers : l’amélioration de l’accès aux biens et services numériques dans 6 Directive 2016/943/UE du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, art. 2.1. 7 Directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données. 8 V. Europe 2020 : la stratégie de l'Union européenne pour la croissance et l'emploi, http://eur- lex.europa.eu/legal-content/FR/TXT/.
  • 8. Page 8 sur 73 toute l’Europe pour les consommateurs et les entreprises ; la mise en place d’un environnement propice et des conditions de concurrence équitables pour le développement de services innovants et de réseaux numériques ; la maximisation du potentiel de croissance de l’économique numérique. C’est ce troisième pilier qui fait l’objet de notre étude. Dans cet objectif, la Commission propose alors par la suite une initiative européenne sur la « libre circulation des données ». Elle vise à lutter contre les restrictions à la libre circulation des données pour des raisons autres que la protection des données à caractère personnel au sein de l’Union européenne et contre les restrictions injustifiées quant à la localisation des données à des fins de stockage ou de traitement. Elle traite notamment des problématiques de propriété, d’accès et de partage des données entre entreprises. Elle esquisse les caractéristiques de l’économie de la donnée de demain et énonce des initiatives visant à soutenir et à accélérer la transition vers cette économie. Selon les propres termes de la Commission, « L’économie de la donnée se caractérisera par un écosystème de différents types d’acteurs interagissant au sein d’un marché unique numérique, ce qui conduira à davantage d’opportunités commerciales et à une disponibilité accrue des connaissances et du capital, en particulier pour les PME, ainsi qu’à une stimulation plus efficace de la recherche et de l’innovation ». Elle estime en outre que l'UE est loin de tirer le meilleur parti possible de son potentiel en matière de données. Pour y remédier, il faut éliminer les restrictions injustifiées à la libre circulation des données par-delà les frontières et lever l'insécurité juridique dans plusieurs domaines. Parmi les objectifs évoqués : l’harmonisation et la réduction des obligations de localisation des serveurs au sein des États membres, la clarification du cadre légal de la donnée afin de protéger l’investissement et de réduire les insécurités juridiques, ainsi que la promotion du partage de données entre acteurs. À l’instar des années de la Commission Delors durant lesquelles la Commission européenne a incité les États membres à limiter les obstacles à la libre circulation des biens, capitaux, services et personnes, la Commission Juncker s’attaque aux obstacles à la libre circulation des données au sein de l’Union. C’est ainsi que dans une communication intitulée « Building a european data economy » en date du 10 janvier 2017, la Commission annonce une série de propositions. Certaines sont de nature législative tandis que d’autres ne constituent que des pistes à discuter et envisager. C’est ainsi qu’après avoir réglementé les données à caractère personnel, la Commission envisage de réglementer les données à caractère non personnel, à travers une proposition de règlement sur la libre circulation des données à caractère non personnel9 . Mais ce texte n’a pas la même portée que le RGPD et ses objectifs apparaissent bien plus modestes. Il a en effet pour but de supprimer les exigences en matière de localisation des données : suppression des règles nationales injustifiées ou disproportionnées qui entravent ou restreignent la liberté des entreprises de choisir un lieu pour le stockage ou le traitement 9 Proposition de règlement concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne, 13/09/2017, SWD(2017) 304 final.
  • 9. Page 9 sur 73 de leurs données. Nous estimons pourtant que les restrictions quant à la localisation des données ne constituent que la partie émergée de l’iceberg. Il reste donc un grand vide juridique à combler quant à la réglementation des données non personnelles et surtout la lutte contre les entraves à la libre circulation des données. C’est dans cet objectif que les droits de propriété intellectuelle ont un rôle important à jouer. À ce titre, le seul texte qui s’applique à ce type de données – certes de manière indirecte – est la directive dite « base de données ». 4 - Définie à l'alinéa 2 de l'article L. 112-3 du Code de la propriété intellectuelle, une base de données est « un recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ». Cet article est issu de la loi n° 98-536 du 1er juillet 1998 qui transpose la directive 96/9/CE du 11 mars 1996 relative à la protection juridique des bases de données. Cette directive a vu le jour dans un contexte particulier que nous étudierons dans le cadre de cette étude. Elle est aussi le fruit d’un long cheminement. Les premières réflexions quant aux notions de « banques de données », « compilations d’informations », « recueils » datent des années 1980. La « directive 96/9 » a été adoptée peu après l'Accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce – ADPIC10 – de l'Organisation mondiale du commerce, et dont les dispositions ont été introduites en droit interne par la loi n° 96-1106 du 18 décembre 1996. L'article 10-2 de l'accord ADPIC est intéressant en ce qu’il prévoit que « les compilations de données ou d'autres éléments, qu'elles soient reproduites sur support exploitable par machine ou sous toute autre forme, qui, par le choix ou la disposition des matières, constituent des créations intellectuelles seront protégées comme telles. Cette protection, qui ne s'étendra pas aux données ou éléments eux-mêmes, sera sans préjudice de tout droit d'auteur subsistant pour les données ou éléments eux-mêmes ». Nous constatons donc que la protection étendue aux données ou éléments en eux-mêmes est expressément exclue. Le régime de protection de la base de données prévu par la directive de 1996 est original car il instaure une protection sur un double fondement juridique. La structure de la base est protégée par le droit d’auteur dès lors qu’elle comporte un « apport intellectuel » caractérisant une création originale. Le contenant est donc protégé…sous certaines conditions. Qu’en est-il alors du contenu ? En dehors du droit d’auteur, se trouve consacré un droit spécifique – sui generis – qui bénéficie au fabricant de la base de données. Le fabricant bénéficie d'une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain substantiel. C’est donc bien l’investissement qui est protégé, et « rien que l’investissement », pour reprendre les termes du Professeur Michel Vivant. Il n’empêche qu’en l’état actuel de notre droit, la directive 96/9 demeure l’instrument juridique le plus proche d’une idée de protection des données. 10 signé lors de l'Accord de Marrakech du 15 avril 1994 et entré en vigueur le 1er janvier 1995.
  • 10. Page 10 sur 73 C’est en ce sens que dans sa stratégie pour la promotion de la libre circulation des données, la Commission européenne a lancé courant 2017 une vaste consultation à travers l’Union concernant cette directive. Cette consultation a précédé la seconde évaluation de la directive (la première datant de 2005). La Commission a en effet cherché à comprendre les corrélations entre la directive 96/9 et l’économie européenne de la donnée. 5 - Parallèlement, la Commission avait lancé l’idée de la création d’un nouveau droit de propriété intellectuelle qui trouverait à s’appliquer à l’économie de la donnée, plus précisément aux données industrielles générées par des machines. Il s’agirait d’un droit des « producteurs de données ». Il créerait un droit de propriété sur les données en tant que tel, ce qui renverse totalement le paradigme reposant sur les mécanismes instaurés par la directive 96/9. Nous devons donc analyser les mécanismes de la directive 96/9. L’objectif de cette étude réside dans le fait d’analyser le régime actuel de protection des bases de données, à travers les dispositions normatives de la directive 96/9 (mais aussi à travers ses considérants), la jurisprudence de la Cour de justice, la doctrine française et européenne, afin d’appréhender les objectifs généraux qui ont gouverné l’adoption de cette directive en 1996, et de déterminer si ces objectifs demeurent pertinents dans cette nouvelle économie fondée sur la donnée. La dernière évaluation de la directive 96/9 a été publiée par la Commission à la fin du mois d’avril dernier. Nous étudierons les conclusions tirées, en livrant une analyse critique. 6 - Dans ce contexte, deux interrogations majeures doivent nous guider dans ce travail de recherche. Il convient tout d’abord de se demander si le régime juridique relevant de la directive 96/9 est devenu inadapté dans le contexte de l’économie européenne de la donnée, ce qui nécessiterait sa révision. Par ailleurs, nous devrons déterminer de quelle manière et suivant quelles orientations stratégiques devrait-on réformer cette directive afin qu’elle devienne un outil juridique favorisant la libre circulation des données dans l’Union. 7 - Nous verrons que la directive 96/9 doit être révisée pour s’adapter aux nouveaux enjeux de la construction du marché unique numérique et de l’avènement d’une économie européenne de la donnée (Partie I). Cette révision souhaitable de la directive doit nécessairement s’inscrire dans la promotion d’une liberté de circulation des données au sein de l’Union européenne (Partie II).
  • 11. Page 11 sur 73 PARTIE I – L’ÉCONOMIE EUROPÉENNE DE LA DONNÉE : UN NOUVEL ENJEU NÉCESSITANT UNE RÉVISION DE LA DIRECTIVE 96/9/CE 8 - Lors de la première évaluation de la directive 96/9 en décembre 200511 , les services de la Commission européenne avaient conclu que le droit sui generis n’avait pas eu d’effet avéré sur la compétitivité globale du secteur européen des bases de données. En dépit de ce bilan peu favorable, ce texte n’avait pas fait l’objet d’une révision. 9 - Dans le nouveau contexte de la construction du marché unique numérique et de l’économie européenne fondée sur la donnée, une nouvelle évaluation de l’impact du droit sui generis est apparue nécessaire. Alors que la Commission européenne a conclu au maintien du statut quo, elle reconnait tout de même que l’application du droit sui generis dans le contexte d’une économie fondée sur les données « doit être suivie de près12 ». Dans notre étude, nous estimons que la directive doit faire l’objet d’une révision, en ce qu’elle tend à perdre de sa pertinence face aux nouveaux enjeux de l’économie de la donnée (Chapitre I). À ce titre, la directive constitue une des entraves à la construction d’une économie européenne de la donnée compétitive (Chapitre II). Chapitre I – La relative inadéquation de la directive face à l’émergence de l’économie fondée sur la donnée 10 - La directive 96/9 a été adoptée en 1996. Les objectifs économiques qui ont gouverné l’adoption de ce texte répondaient à des besoins précis qui demeurent probablement pertinents dans certains secteurs, comme celui de l’industrie de l’édition13 . Mais vingt-deux ans après l’adoption de la directive, le contexte technologique est marqué par la révolution du Big data. Un nouveau contexte qui marque une certaine obsolescence de certains objectifs de la directive, et un manque de pertinence du droit sui generis (Section 1). En outre, alors qu’il demeure de nombreuses incertitudes, la dernière évaluation de la directive confirme les solutions dégagées par la jurisprudence de la Cour de justice 11 Services de la Commission européenne – DG Marché intérieur, Première évaluation de la directive 96/9/CE concernant la protection juridique des bases de données (2005) 12 Services de la Commission européenne – Résumé de l’évaluation de la directive 96/9/CE concernant la protection des bases de données, p. 4, 25.4.2018 13 V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018) 147 final, p. 20: “The most supportive responses came from database producers, especially from the publishing sector”.
  • 12. Page 12 sur 73 de l’Union Européenne : le droit sui generis ne s’applique pas à l’ensemble de l’économie fondée sur les données (Section 2). Section 1 – Les objectifs et le régime de la directive confrontés au nouvel écosystème de la data 11 - À la lecture des considérants de la directive, il ressort que l’un des objectifs – économiques – de ce texte, était d’encourager l’investissement dans la création des bases de données. À l’ère du Big data, cet objectif nous semble désuet (A). Par ailleurs, le concept même de base de données, tel qu’il a été envisagé par la directive – bases de données statiques – ne correspond plus aux caractéristiques des bases de données fluides et dynamiques du Big data (B). En outre, Les nouvelles techniques propres au Big data viennent se confronter au droit sui generis (C). A) - La désuétude de l’objectif d’encouragement à la création de bases de données 12 - Les considérants de la directive sont instructifs. Ils nous renseignent sur les travaux préparatoires qui ont abouti à l’élaboration du texte, mais aussi sur le contexte général sur le plan économique et technologique. Le nombre de considérants14 , aussi, est instructif. Le droit sui generis a en effet donné lieu à des négociations très serrées, la crainte de la constitution de monopoles informationnels étant déjà à ce stade à l’origine de controverses. Alors qu’il était question à cette époque d’évaluer les éventuelles menaces qu’un nouveau droit [sui generis] pouvait constituer quant à libre circulation de l’information15 , les enjeux sont peut-être aujourd’hui encore plus cruciaux. Il s’agit de libre circulation des données dans l’Union européenne et de la construction d’un marché unique numérique. Le marché des CD-ROM était le cadre référentiel de la directive16 . Certes, dans le cadre de l’adoption de certains textes normatifs, la légistique est pensée de manière à permettre une adaptation optimisée aux évolutions technologiques, mais dans le cadre du Big data, s’agit-il d’une « évolution » technologique ? Le terme « révolution17 » semble bien plus approprié. Cette révolution, qui n’est d’ailleurs pas exclusivement technologique, est à l’origine des nouvelles 14 V. Jcl, Propriété littéraire et artistique, Fasc. 1650, A. Lucas, Droit des producteurs des bases de données, p. 15. 15 V. A. Beunen, Protection for databases. The European Database Directive and its effects in the Netherlands, France, and the United Kingdow : Wolf legal publishers, Nimègue, 2007, p. 186. .- V. aussi V.-L. Benabou, S. Lemarchand et S. Rambaud : Propr. intell. 2003, p. 319 16 V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018) 147 final, p. 38. 17 V. V. Mayer-Schönberger, K. Cukier, Big data: la révolution des données est en marche, R. Laffont, 2014
  • 13. Page 13 sur 73 orientations politiques de la Commission européenne18 . Ainsi, il ne s’agit pas juste de questions d’adaptation de dispositions particulières de la directive aux évolutions, il s’agit de la raison d’être de ce texte, de l’obsolescence des objectifs économiques qui ont été à l’origine de son adoption. 13 - La directive 96/9 avait initialement pour objectif d’encourager l’investissement dans la création de bases de données, afin de concurrencer les bases de données américaines19 . L’enjeu était alors à la valorisation des bases de données au profit des entreprises qui avaient investi dans la constitution de ces bases. La valeur résidait donc dans la base de données elle-même, en tant qu’actif protégeable. Dans certains domaines industriels, cette réalité économique est encore d’actualité. Mais, en est-il autrement dans le cadre du Big data ? Dans ce cadre, ce ne sont pas tant les bases de données qui sont valorisables, mais les données elles-mêmes, c'est-à-dire le contenu des bases de données. L’heure n’est donc plus à investir pour constituer des bases de données pour être en mesure de les valoriser, mais plutôt de collecter et traiter en temps réel de grands volumes de données les plus variées possibles : là réside la valeur. Sur le plan économique, la structuration des données est un non sens. À ce titre, l’industrie des bases de données a été profondément impactée par le Big data et les nouvelles techniques de traitement de données massives. Ainsi, de nombreuses bases de données peuvent être aujourd’hui produites moyennant un moindre investissement. La création du contenu des bases de données a été marquée par d’importantes évolutions. Il ne s’agit plus d’investir pour réunir des données existantes afin de constituer une base. La collecte des données est issue de traitements automatisés20 . Ainsi, les acteurs de différents secteurs industriels (fabricants de bases de données), consultés dans le cadre de l’évaluation de la directive, ont majoritairement considéré que les avancées technologiques ont rendu les dispositions de la directive 96/9 obsolètes21 . B) - La perte de pertinence du concept de bases de données statiques à l’ère du Big data 14 - La notion de « base de données » apparait comme étant une notion centrale dans la data driven economy. Elle est d’ailleurs présente dans la quasi-totalité des lexiques des termes les plus utilisés du Big data22 . Pourtant, ce type de bases de données n’a pas grand chose en commun avec les critères relatifs aux bases de données couvertes par la directive. Le besoin d’organiser les données, 18 Les conclusions du Conseil européen d’octobre 2013 appellent à une action de l’UE en vue d’établir un cadre favorable à un marché unique des données massives (big data) et de l’informatique en nuage. 19 Castets-Renard C., La protection juridique des bases de données chahutée, mai 2009, La propriété littéraire et artistique en quête de sens, Actes ss la dir. de P. Sirinelli, 20 ans du CERDI 20 Processus “Machine to Machine” (M2M), données générées par des machines. 21 V. Commission européenne, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases,Annex 2, Economic analysis, p. 27. 22 SAGE Campus, glossary of Big Data and data science terms: https://campus.sagepub.com/blog/glossary-of- big-data-terms
  • 14. Page 14 sur 73 potentiellement de grandes quantités de données, afin d’en optimiser la conservation et la restitution est au cœur du Big data. Les bases de données, qui peuvent être identifiées comme des solutions informatiques de stockage et traitement analytique de données massives en temps réel, sont des outils incontournables de cet écosystème. Ces dernières années, le volume des données collectées par les entreprises a augmenté de manière exponentielle. Elles émanent de sources variées (transactions, réseaux, géolocalisation, smart-industry,...) et sont susceptibles de croître très rapidement. Ces données sont donc difficiles à traiter avec des outils classiques de gestion de données. C’est ainsi que sont nées les bases de données NoSQL (Not Only SQL) qui permettent, grâce à leur flexibilité, de gérer de gros volumes de données hétérogènes sur un ensemble de serveurs de stockage distribués23 . Ces différents outils démontrent la dimension dynamique des traitements de données Big data, qui s’effectuent en temps réel. 15 - La rapidité et l’accessibilité sont des critères clés qui font partie des 10 grandes tendances du Big data pour l’année 2017. Dans ce contexte, des juristes experts estiment que la protection conférée par la directive 96/9 ne serait plus adaptée car la notion même de base de données perd de sa pertinence. À l’ère du Big data et des puissances de traitement et de conservation des données, les besoins ne résident plus dans la constitution d’un ensemble organisé et structuré de données24 . Les données sont aujourd’hui caractérisées par leur fluidité25 , par opposition aux données réunies pour constituer des bases statiques que l’on entend valoriser. 16 - La durée de protection prévue par la directive au titre du droit sui generis est un exemple qui démontre la difficulté du régime juridique de protection des bases de données à appréhender les bases de données dynamiques typiques au Big data. En effet, selon l’article 10 de la directive, la durée de protection est de 15 ans « après le 1er janvier de l'année qui suit la date de l'achèvement » de la base. L’alinéa 3 de cet article apporte une précision importante : « Toute modification substantielle, évaluée de façon qualitative ou quantitative, du contenu d'une base de données, notamment toute modification substantielle résultant de l'accumulation d'ajouts, de suppressions ou de changements successifs qui ferait considérer qu'il s'agit d'un nouvel investissement substantiel, évalué de façon qualitative ou quantitative, permet d'attribuer à la base qui résulte de cet investissement une durée de protection propre ». Ainsi, à l’occasion de chaque mise à jour substantielle d’une base de données, une nouvelle durée de protection, propre à la version modifiée de la base, est attribuée. Il est vrai qu’en règle générale, une modification substantielle du contenu d’une base de données n’est pas systématique, ce qui pourrait écarter le spectre d’une protection perpétuelle. Mais qu’en est-il dans le cadre du Big data ? Les données contenues dans les bases de données dans le cadre de l’économie 23 Rudi Bruchez, Les bases de données NoSQL, 2e ed., Eyrolles, 2015 24 S. Larrière, Expertises des systèmes d’information, Avr. 2017. 25 N. Courtier, Bases de données, une protection obsolète, Expertises des systèmes d’information, juin 2017.
  • 15. Page 15 sur 73 des données, font l’objet de renouvellements successifs et continus26 . De plus, ce flux massif de données, sans aucune limitation quantitative, est susceptible de constituer une « modification substantielle » du contenu de la base, et ainsi engendrer des prorogations successives de la durée de protection de la base. La directive ne prévoyant aucune limitation quant à ces prorogations, nous pouvons estimer que dans ce cadre, une protection perpétuelle de ces bases de données est envisageable. Sur ce point, de nombreuses critiques ont émergé, émanant principalement d’organismes publics et d’utilisateurs de bases de données. En effet, une protection perpétuelle de ce type de bases de données aurait pour effet de créer des monopoles informationnels et des situations permanentes de rétention de données. Dans un cadre plus global, cela constitue un frein à la libre circulation des données prônée par la Commission européenne. 17 - Si les « trois V » qui caractérisent le Big data progressent continuellement, c'est la variété qui s'impose comme le principal moteur des investissements dans le Big Data27 . Les entreprises cherchent en effet à intégrer d’avantage de sources de données. Les plateformes de traitement de données permettent d’analyser rapidement des données issues de milliers de sources en temps réel. Les débits de données sont très élevés, on parle alors de flots de données. L’analyse sur les flots de données combine des flux de données, comme les données de localisation GPS et les informations techniques provenant d’un véhicule pour les analyser. Ces traitements en temps réel de grands volumes de données, issues de sources très variées, tendent à devenir problématiques car le droit sui generis n’a pas été conçu de manière à appréhender ces nouvelles pratiques. C) - Le droit sui generis : un obstacle aux nouvelles techniques du Big data 18 - L’écosystème de la donnée a été marqué par de profonds changements et sont apparues des techniques nouvelles permettant d’exploiter les bénéfices issus du Big data. À ce titre, le web scraping est une des techniques emblématiques d’extraction de données à partir d’autres sources. Apparue ces dernières années, elle consiste en un processus automatisé : un robot (le plus souvent un logiciel) paramétré de façon à extraire les données souhaitées sur un site web, contenues le plus souvent dans des bases de données. Ces données récupérées sont par la suite stockées à leur tour dans des bases de données. 26 V. Sur ce point infra, n° 16 et 17. 27 NewVantage Partners LLC, An Update on the Adoption of Big Data in the Fortune 1000, Executive Summary, p. 4
  • 16. Page 16 sur 73 Plus généralement, la Data science est une nouvelle discipline28 qui apparait désormais comme étant un des piliers de la Data driven economy. Elle permet à une entreprise d’explorer et d’analyser les données brutes pour les transformer en informations précieuses permettant de résoudre les problèmes de l’entreprise. La Data science permet d’explorer des Insights, qui permettent de découvrir et appréhender des tendances et comportements complexes. Mais pour extraire ces informations si précieuses et valorisables pour les entreprises, l’étape cruciale est relative à la collecte des données. Elles doivent provenir de sources les plus diverses pour optimiser les corrélations. 19 - Ces différentes techniques, qui impliquent l’exploration de données extraites en quantité massives – donc nécessairement substantielles – à partir de sources très diverses (comprenant des jeux de données stockés dans d’autres bases de données), viennent se confronter avec le droit sui generis. Il apparait alors comme un frein à leur développement, ce qui est néfaste pour la croissance globale au sein de l’Union européenne. En effet, les avantages économiques tirés de ces nouvelles techniques et leurs effets sur l’emploi sont considérables. À ce titre, les dernières études menées au sein de l’Union estiment que plus de 100 000 emplois directement liés à l’analyse de données seront créés, tandis que l’introduction du Big data dans le top 100 des producteurs et fabricants industriels pourrait mener à réaliser des économies de plus de 425 milliards d’euros d’ici 202029 . 20 – Le régime du droit sui generis, qui n’a pas été pensé pour appréhender ce type de techniques, manque de flexibilité et constitue à ce titre, un obstacle. En effet, les articles 7 paragraphe 1er et 7 paragraphe 5 de la directive 96/930 disposent respectivement que : « Les États membres prévoient pour le fabricant d'une base de données le droit d'interdire l'extraction et/ou la réutilisation de la totalité ou d'une partie substantielle, évaluée de façon qualitative ou quantitative, du contenu de celle-ci, lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif. » ; « L'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées. ». Ainsi, un fabricant de bases de données peut s’opposer d’une part, à l’extraction et/ou la réutilisation de la totalité ou d’une partie substantielle, du contenu de la base et, d’autre part, à l’extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données. Or, de nombreuses pratiques tendent à réutiliser les contenus de bases de données. Une des pratiques 28 …du moins, relativement nouvelle, puisqu’il semblerait qu’elle soit née à Montpellier, en 1992, lors du 2ième colloque Franço-Japonais de statistique, selon le Professeur G.-R. Ducharme. V. en ce sens : Y. Escoufier, B. Fichet, E. Diday, L. Lebart, C. Hayashi, N. Ohsumi, Y. Baha, Preface to “Data science and its application - La science des données et ses applications”, ed. Academic Press, Tokyo, 1995. 29 European commission, EPSC Strategic Notes, Enter the data economy, EU Policies for a thriving data ecosystem, 01.2017, p.3. 30 V. transposition en droit français : art. L342-1 du CPI.
  • 17. Page 17 sur 73 les plus courantes en matière de scraping est la mise en place de métamoteurs de recherches dédiés. Il convient de se demander si cela constitue une « réutilisation » au sens de la directive, qui serait donc prohibée. Les contentieux n’ont pas manqué de se multiplier, et sur ce point, la Cour de justice de l’Union européenne s’est prononcée dans le cadre de l’arrêt Innoweb31 . La Cour détermine si une entreprise qui exploite un métamoteur de recherches dédié procède à une réutilisation de la totalité ou d'une partie substantielle du contenu d'une base de données au sens de l'article 7, paragraphe 1er de la directive. En l’espèce, il s’agissait d’un moteur de recherche d’annonces de vente de voitures dénommé Autotrack, qui voyait sa substance parasitée par un métamoteur de recherche dédié à la vente de voiture. Ce dernier effectuait 100 000 requêtes par jour dans Autotrack. La Cour estime que la notion de « réutilisation » s'entend de « tout acte non autorisé de diffusion au public du contenu d'une base de données protégée ou d'une partie substantielle d'un tel contenu32 ». Elle considère ensuite qu’un opérateur qui met en ligne sur Internet un métamoteur de recherche dédié procède à une réutilisation de la totalité ou d’une partie substantielle du contenu d’une base de données protégée par cet article 7 dès lors que ce métamoteur de recherche dédié remplit 3 critères cumulatifs : si le métamoteur fournit à l’utilisateur final un formulaire de recherche offrant, en substance, les mêmes fonctionnalités que le formulaire de la base de données ; s’il traduit «en temps réel» les requêtes des utilisateurs finaux dans le moteur de recherche dont est équipée la base de données, de sorte que toutes les données de cette base sont explorées, et s’il présente à l’utilisateur final les résultats trouvés sous l’apparence extérieure de son site Internet, en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères qui sont comparables à ceux utilisés par le moteur de recherche de la base de données concernée pour présenter les résultats. La Cour de justice a certes statué sur ce point, mais il demeure d’importantes divergences d’interprétation entre experts. De plus, les utilisateurs de bases de données estiment que les dispositions de la directive relatives à l’extraction de données sont une source d’insécurité juridique dans le cadre des activités relatives à la Data science et au Big data analytics. Cela est d’ailleurs reflété à travers les interventions des différents experts consultés lors des workshops organisés par la Commission européenne dans le cadre de l’évaluation de la directive33 . Il convient de rappeler que ce type de pratiques, notamment le scraping, est devenu très courant dans l’économie de la donnée. Une interdiction du scraping au titre du droit sui generis, qui aurait un caractère général et qui ne 31 V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases,Annex 2, Legal analysis, p. 73-74 .- CJUE, 5e ch., 19 déc. 2013, aff. C-202/12, Innoweb: M. Meister, Europe n° 2, Févr. 2014, comm. 97 32 CJUE, 5e ch., 19 déc. 2013, aff. C-202/12, Innoweb, point 37. 33 V. préc. note (29), p. 80 : “ At the workshop, some wanted more protection against scraping while others mentioned that there is still high uncertainty about what is permissible and impermissible scraping.”
  • 18. Page 18 sur 73 tiendrait pas compte des spécificités et buts recherchés, serait préjudiciable à l’ensemble de cette économie. Section 2 – le champ d’application restreint du droit sui generis dans l’économie fondée sur la donnée 21 – Dans sa communication intitulée Building a European Data Economy34 , la Commission européenne identifie les barrières qui constitueraient un frein à la libre circulation des données au sein de l’Union européenne. Elle focalise alors son attention sur les données générées par des machines35 , qui apparaissent comme étant cruciales dans le cadre de l’économie fondée sur les données. C’est dans ce contexte qu’elle a entrepris une nouvelle évaluation de la directive 96/9. Pourtant, la jurisprudence très restrictive de la Cour de justice a pour effet d’écarter une majorité des données générées par des machines du champ d’application du droit sui generis. Ces données sont en effet considérées comme étant « créées » et non « obtenues » (A). De plus, faisant l’objet de collecte, puis de traitements automatisés, un « investissement substantiel » est souvent difficile à justifier par les fabricants de ce type de bases de données (B). A) - La qualification juridique des données générées par des machines (M2M) : distinction « données créées » / « données obtenues » 22 - Les données générées par des machines sont d’une importance capitale dans l’économie fondée sur la donnée. Industrie 4.0, Usines du futur, Smart manufacturing, Smart cities…tous ces termes symbolisent la dernière révolution industrielle36 . Ils ont pour dénominateur commun l’Internet des objets (IOT). L’industrie intelligente, la ville intelligente, l’agriculture intelligente, reposent tous sur un système d’interconnections de machines (des capteurs), qui produisent et collectent des données. Ces données sont donc générées par des capteurs dans tous types d’industries dans lesquels l’IOT est présente : industrie automobile, aéronautique, météorologie, santé, sport connecté, etc. L’interaction humaine est relativement faible, ces flux de données étant le fruit de processus parfaitement automatisés. En 2017, le nombre des objets connectés en services était estimé à 20,25 milliards et devrait grimper à plus de 30 milliards à l’horizon 202037 . 34 European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01- 2017, p. 4. 35 Machine to Machine data (M2M) 36 Certains experts considèrent qu’il s’agit de la 4è révolution industrielle, V. en ce sens K. Schwab, The Fourth Industrial Revolution: what it means, how to respond, World Economic Forum Geneva, 2016. 37 Statista.com, Internet of Things (IoT) connected devices installed base worldwide from 2015 to 2025.
  • 19. Page 19 sur 73 23 - En dépit de leur aspect déterminant dans l’économie fondée sur la donnée, les données générées par des machines ne sont pas, a priori, couvertes par le régime de protection du droit sui generis38 . Ce type de données qui constituent des bases de données, sont considérées comme étant des « données créées ». Ce ne sont donc pas des « données obtenues ». Le concept de « données obtenues » est issu de la jurisprudence de la Cour de justice dite Fixtures Marketing39 . Il s’agit d’un arrêt très important car antérieurement, les tribunaux des États membres avaient tendance à ne pas distinguer la création de contenu et l’obtention de contenu d’une base de données. C’est notamment le cas de la jurisprudence française (TGI et Cour d’appel de Paris40 ). Ainsi, la rupture a été marquée par cet arrêt de la Cour de justice dans lequel elle précise que « La notion d’investissement lié à l’obtention du contenu d’une base de données au sens de l’article 7, paragraphe 1, de la directive doit s’entendre comme désignant les moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans ladite base. Elle ne comprend pas les moyens mis en œuvre pour la création des éléments constitutifs du contenu d’une base de données ». Il s’agit d’une interprétation très stricte de l’article susvisé. La Cour ajoute que « Le but de la protection par le droit sui generis organisée par la directive est en effet de stimuler la mise en place de systèmes de stockage et de traitement d’informations existantes, et non la création d’éléments susceptibles d’être ultérieurement rassemblés dans une base de données », « Cette interprétation est corroborée par le trente-neuvième considérant de la directive, selon lequel l’objectif du droit sui generis est de garantir une protection contre l’appropriation des résultats obtenus de l’investissement financier et professionnel consenti par la personne qui a “recherché et rassemblé le contenu” d’une base de données. […] une interprétation excluant de la notion de création des éléments contenus dans la base de données ». Concernant les bases de données constituées par des données générées par des machines, elles sont 38 M. Leistner, Big Data and the EU Database Directive 96/9/EC: Current Law and Potential for Reform in L. Schulze, Staudenmayer, Trading Data in the Digital Economy: Legal Concepts and Tools, 2017: “ many authors have derived that in typical big data scenarios, the investments of ‘producers’ of sensor or machine-generated data of all kinds will be excluded from the sui generis right because in most practical cases, such investments would have to be regarded as investments in the ‘creation’ of data.”. 39 La CJUE a rendu le 9 novembre 2004 quatre décisions importantes sur le droit sui generis des producteurs des bases de données, dont les arrêts Fixtures Marketing. V. CJCE, 9 nov. 2004, The British Horseracing Board Ltd e.a., Fixtures Marketing Ltd c/ Organismos Pronostikon ; Fixtures Marketing Ltd c/ Oy Veikkaus AB et Fixtures Marketing Ltd: M. Vivant, L’investissement, rien que l’investissement, Revue Le Lamy Droit de l'immatériel, Nº 3, 1er mars 2005 ; P. Kamina, Droit sui generis sur les bases de données, Propr. industrielle n° 1, Janvier 2005, comm. 7. 40 V. en ce sens CA Paris, 4e ch., 20 mars 2002 : PIBD 2002, III, p. 331. V. aussi, CA Paris, 4e ch., 18 juin 2003 .- TGI Paris, 3e ch., 25 avr. 2003 : D. 2003, p. 2819, obs. C. Le Stanc : jugement récusant la distinction création/obtention des donné contenues dans la base de données.
  • 20. Page 20 sur 73 le plus souvent le sous-produit41 de l’activité centrale d’une entreprise42 . En tant que bases de données dérivées, elles ne sauraient être couvertes par le droit sui generis. B) - Le critère discriminant de « l’investissement substantiel » dans le cadre des données générées par des machines 24 - Au-delà de la qualification des données générées par des machines en tant que « données créées », le critère de « l’investissement substantiel » contribue fortement à écarter une grande partie des bases de données constituées de données générées par des machines, du champ de protection par le droit sui generis. En effet, pour qu’une base de données bénéficie de la protection par le droit sui generis, il faut qu’elle ait fait l’objet, de la part du fabricant, d’un investissement substantiel, évalué de manière qualitative et quantitative, dans l’obtention, la vérification ou la présentation du contenu de la base. Cet investissement peut être financier, humain ou matériel. Il peut ainsi consister dans la mise en œuvre de ressources ou de moyens humains, financiers ou techniques. L'appréciation quantitative fait référence à des moyens chiffrables et l'appréciation qualitative à des efforts non quantifiables, tels qu'un effort intellectuel ou une dépense d'énergie. Les progrès technologiques importants des dernières années ont considérablement impacté la structure des coûts relative à la création de bases de données. Cela est encore plus vrai dans le cas des bases constituées à partir des données générées par des machines. Ainsi, un nombre bien plus important de bases de données peuvent être créées, moyennant des investissements bien plus faibles. Dans ces nombreux cas, il apparait bien difficile pour un fabricant de bases de données de justifier des investissements substantiels pour la création de ces bases, qui sont le fruit de processus automatisés. Il en résulte donc qu’une grande partie des bases de données constituées à partir de données générées par des machines ne remplissent pas le critère d’investissement substantiel. Elles échappent à l’application de la directive et ne font donc pas l’objet d’une réglementation harmonisée. Il n’en demeure pas moins qu’elles revêtent une importance capitale dans la Data driven economy. C’est ainsi qu’un certain nombre de participants au Workshop mené dans le cadre de la consultation pré-évaluation de la directive ont relevé l’importance de ce type de données pour les start-up et 41 Théorie du Spin-off: le droit sui generis n'a vocation à défendre que l'investissement affecté à la seule base de données. En ce sens : refus de prendre en considération les investissements non directement liés à la base elle- même 42 V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Annex 2, Legal analysis, p. 37.
  • 21. Page 21 sur 73 l’innovation en général, les qualifiant même d’« oxygène43 ». Ces participants réclament en outre que l’accès à ces données soit réglementé de manière à optimiser les processus d’innovation et la libre concurrence. Chapitre II – Une inadéquation qui constitue une entrave au développement de l’économie européenne de la donnée 25 - La directive 96/9 n’a pas été pensée pour encadrer les bouleversements technologiques des dernières années et l’avènement d’une économie européenne de la donnée. Le régime juridique du droit sui generis, stricte par nature, a été rigidifié par la jurisprudence de la Cour de justice. C’est ainsi qu’il ne peut trouver à s’appliquer dans un bon nombre de situations relevant des données générées par des machines, qui constituent pourtant le socle de l’économie fondée sur la donnée. A contrario, lorsque le droit sui generis s’applique à des situations relevant du Big data, il constitue souvent un obstacle à leur mise en œuvre. 26 - Le dernier rapport d’évaluation, publié par les services de la Commission fin avril dernier, rappelle à juste titre que la directive 96/9 a été adoptée pour traiter d’un sujet : …les données. Ces données sont devenues un sujet central de l’économie numérique44 . Le rapport poursuit en estimant qu’« en ce sens, la directive demeure très pertinente en réduisant la fragmentation réglementaire relative à la protection des bases de données ». Nous estimons que ces affirmations devraient être nuancées. En effet, le régime actuel du droit sui generis constitue une source d’insécurité juridique dans le cadre de l’économie de la donnée (Section 1). Par ailleurs, l’absence de véritable cadre juridique harmonisé et efficient est vectrice de stratégies de rétentions de données entre acteurs économiques (Section 2). Section 1 – Les incertitudes émaillant le cadre réglementaire relatif aux données générées par des machines : sources d’insécurité juridique 27 - S’il est établi que les données générées par des machines ne sont généralement pas couvertes par le droit sui generis, il demeure des situations où ce droit trouve encore à s’appliquer. Il 43 V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Annex 2, Economic analysis, p. 35. 44 V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018) 147 final, p. 35.
  • 22. Page 22 sur 73 n’est d’ailleurs pas aisé de les déterminer, ce qui constitue une source importante d’incertitudes pour les acteurs qui, au final, éprouvent des difficultés quand il s’agit de savoir avec précision ce qui relève ou non du droit sui generis dans l’économie de la donnée (A). Par ailleurs, l’insécurité juridique qui en découle est renforcée par l’absence d’un cadre juridique harmonisé (B). A) - Incertitudes dans les situations encore couvertes par le droit sui generis 28 - Les arrêts rendus par la Cour de justice en 2004 ont certes permis de clarifier le champs d’application du droit sui generis et de préciser les attributs que doivent revêtir les investissements réalisés par les fabricants pour bénéficier de cette protection juridique, il reste pourtant des zones d’ombre. Tout d’abord, l’avènement des données générées par des machines semble brouiller la frontière entre les investissements réalisés pour l’obtention de donnés, et ceux réalisés pour la création de données. Cette distinction qui permet d’écarter un grand nombre de bases de données du champ d’application du droit sui generis demeure ainsi litigieuse45 . Affirmer en effet, de façon définitive, que toutes les données générées par des machines ne relèvent pas du droit sui generis reviendrait à tomber dans le piège de la facilité. Il convient d’analyser à nouveau les critères jurisprudentiels de la Cour de justice et de les confronter aux caractéristiques des données générées par des machines. Rappelons que selon la jurisprudence de la Cour, les investissements couverts par le droit sui generis sont ceux qui impliquent des moyens consacrés à la recherche d’éléments existants et à leur rassemblement dans une base de données46 . Par opposition, sont exclus du champ de protection, les moyens mis en œuvre pour la création des éléments constitutifs du contenu de la base de données. Les données protégées dans une base de données sont donc celles qui ont été recherchées et rassemblées. Qu’en est-il alors des données générées par des machines ? Elles sont collectées à partir de capteurs. Dans certains types d’industries, la collecte de données industrielles par des capteurs, puis leur rassemblement afin de constituer des bases de données constitue l’activité principale des entreprises qui en ont fait un véritable business model. Les investissements réalisés par ces entreprises sont donc des investissements réalisés principalement pour cette activité de constitution de bases de données, ce qui tend à rendre la théorie du Spin-off inopérante. Ainsi, le fabricant de bases de données, qui a investi des moyens conséquents afin de collecter des données, à partir de capteurs, puis de les rassembler dans des bases de données ne devrait-il pas pouvoir bénéficier de la protection au titre du 45 M. Leistner, Big Data and the EU Database Directive 96/9/EC: Current Law and Potential for Reform in L. Schulze, Staudenmayer, Trading Data in the Digital Economy: Legal Concepts and Tools, 2017, p. 28. 46 V. infra n° 24.
  • 23. Page 23 sur 73 droit sui generis ? La question est complexe, et mérite d’être posée. Elle l’a d’ailleurs été, la Cour fédérale de justice allemande s’étant prononcée dans un arrêt du 25 mars 201047 . La solution de cet arrêt est notable48 car la Cour a estimé que les bases de données d’une société d’autoroute bénéficient de la protection du droit sui generis, alors même que ces bases sont constituées de données générées par des machines (générées par des capteurs présents dans les systèmes de péages). La Cour a considéré qu’il ne s’agissait pas de données « créées », mais bien de données « obtenues » car les sociétés d’autoroutes ont investi financièrement pour enregistrer ces données préexistantes, relatives aux véhicules utilisant les autoroutes. Mais la Cour va au-delà de la distinction entre la création et l’obtention des données. Rappelons que selon l’article 7 paragraphe 1 de la directive, les bases de données sont protégées au titre du droit sui generis « lorsque l'obtention, la vérification ou la présentation de ce contenu attestent un investissement substantiel du point de vue qualitatif ou quantitatif ». Les critères relatifs à la vérification et la présentation du contenu des bases de données viennent donc se joindre au critère de l’obtention. Concernant la vérification des données, l’arrêt The British Horseracing Board49 nous indique que « la notion d'investissement lié à la vérification du contenu de la base de données au sens de l'article 7, paragraphe 1, de la directive doit être comprise comme visant les moyens consacrés, en vue d'assurer la fiabilité de l'information contenue dans ladite base, au contrôle de l'exactitude des éléments recherchés, lors de la constitution de cette base ainsi que pendant la période de fonctionnement de celle-ci. Des moyens consacrés à des opérations de vérification au cours de la phase de création d'éléments par la suite rassemblés dans une base de données ne relèvent pas de cette notion50 ». Ainsi, la vérification doit avoir lieu au moment de la collecte des données. Quant au critère de présentation du contenu de la base, dans l’un des arrêts Fixtures Marketing51 , la Cour de justice indique que « la notion d'investissement lié à la présentation du contenu de la base de données concerne, pour sa part, les moyens visant à conférer à ladite base sa fonction de traitement de l'information, à savoir ceux consacrés à la disposition systématique ou méthodique des éléments contenus dans cette base ainsi qu'à l'organisation de leur accessibilité individuelle ». Dans l’arrêt Autobahnmaut, la Cour fédérale de justice allemande a estimé que les critères de vérification et présentation étaient constitués par le traitement des données par des logiciels. Cette solution est donc importante, quand bien même il s’agit d’un arrêt isolé et non confirmé par les hautes Cours des autres États membres. C’est ainsi que de nombreux acteurs de l’industrie automobiles consultés lors du Workshop organisé par la Commission européenne n’ont 47 Autobahnmaut, BGH I ZR 47/08, 25 March 2010. 48 V. préc. note (45). 49 CJCE, 9 nov. 2004, The British Horseracing Board Ltd e.a., Fixtures Marketing Ltd c/ Organismos Pronostikon, pt. 42. 50 Solution reprise dans Cass. 1re civ., 5 mars 2009, RLDI 2009/48, no 1572, obs. Costes L., JCP E 2009, 1674, no 1, obs. Vivant M., Mallet-Poujol N. et Bruguière J.-M. 51 V. CJCE, 9 nov. 2004, Fixtures Marketing Ltd c/ Oy Veikkaus AB, pt. 37.
  • 24. Page 24 sur 73 pas manqué de transposer ce raisonnement aux bases de données constituées des données générées par les capteurs installés dans les véhicules connectés52 . Il y a un véritable enjeu, qui est d’ailleurs analysé dans la dernière évaluation de la directive53 : il devient de plus en plus complexe de distinguer entre la création de données et l’obtention de données dans le contexte de l’Internet des objets, de la collecte de données par des capteurs. Par ailleurs, on peut s’interroger sur la pertinence de la théorie du Spin-off qui exclut les bases de donnés qui sont les sous-produits d’une activité économique principale. En effet, dans l’économie de la donnée, les business models changent radicalement et ce qui est jusqu’alors considéré comme un sous-produit pourrait très bien faire l’objet d’investissements spécifiques et être au cœur de ces nouveaux business. 29 - Concernant le critère d’investissement substantiel, il n’est pas non plus définitivement établi que toutes les bases de données constituées dans le cadre des données générées par des machines ne fassent l’objet que de faibles investissements. Certes, de manière générale, l’automatisation des process a considérablement rabaissé les coûts54 . Mais est-ce le cas de tous les process de collecte de données par des machines ? Un des acteurs consultés dans le cadre de l’évaluation de la directive a estimé que les investissements réalisés dans la collecte des données générées par des machines peuvent varier de niveaux très élevés à des niveaux très bas. Pour illustrer cette affirmation, il a cité le Large Hadron Collider55 comme exemple. Il s’agit à coup sûr d’un des plus grands et onéreux objets connectés au monde : « le flot de données résultant est bien au-delà des capacités de traitement et de stockage actuelles56 »… Par ailleurs, des représentants de l’industrie du sport indiquent avoir fait des investissements élevés dans des capteurs afin de collecter des données relatives aux conditions de jeu de matchs diffusés en direct (ce qui a d’ailleurs contribué au développement considérable de l’industrie des paris sportifs en ligne). On peut penser par exemple aux données relatives à l’état des pelouses, qui peuvent être cruciales. Ainsi, il existe probablement des situations relevant de données générées par des machines qui peuvent faire l’objet d’une protection au titre du droit sui generis. Ces situations ne feront que croître à l’avenir en fonction de l’évolution radicale des business models associés à la data. De nombreux acteurs ont mis en lumière les incertitudes quant à l’application ou non du droit sui generis dans ces différents domaines, ce qui est une source considérable d’insécurité juridique. Ces acteurs réclament alors un cadre juridique harmonisé. 52 V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018) 147 final, p. 36. 53 Préc. 54 V. infra n° 28. 55 https://fr.wikipedia.org/wiki/Grand_collisionneur_de_hadrons: « le plus puissant accélérateur de particules construit à ce jour ». 56 Préc. note (45).
  • 25. Page 25 sur 73 B) - L’absence de cadre juridique harmonisé 30 - Tandis que les données à caractère personnel font l’objet d’une réglementation harmonisée dans l’Union européenne – ce qui est d’ailleurs considéré comme un atout considérable pour la compétitivité de l’économie européenne – il en est tout autrement des données non personnelles. Certaines sont couvertes par la directive 96/9, tandis que d’autres ne le sont pas, et la frontière de démarcation devient ardue à déterminer57 . En outre, d’autres dispositions viennent s’ajouter au cadre réglementaire relatif aux données industrielles. Certains experts évoquent d’ailleurs la notion de « patchwork réglementaire58 » où de multiples textes se superposent les uns aux autres pour régir le même objet : la donnée industrielle. Cette richesse du cadre réglementaire peut être vue comme un atout, afin de conférer une protection maximale aux données industrielles, mais elle est surtout appréhendée par les différents acteurs comme une source de complexité accrue. Dans le sillage des différentes communications de la Commission européenne relatives à l’économie européenne de la donnée, de multiples rapports émanant de cabinets de consulting, de chercheurs et autres juristes experts au sein de l’Union européenne ont été consacrés à l’étude du cadre réglementaire relatif aux données industrielles. La majorité de ces publications ont relevé la multitude de textes réglementant, d’une manière ou d’une autre, ces types de données. Ces conclusions ont d’ailleurs été confirmées dans la dernière évaluation de la directive 96/959 , et dans les rapports des experts60 annexés à cette évaluation. Tout d’abord, le droit sui generis est un des nombreux mécanismes juridiques qui peut être invoqué pour protéger les données contenues dans une base de données. D’ailleurs, le texte de la directive prévoit expressément que : « la présente directive n'affecte pas les dispositions concernant notamment le droit d'auteur, les droits voisins ou d'autres droits ou obligations subsistant dans les données, les œuvres ou les autres éléments incorporés dans une base de données, les brevets, les marques, les dessins et modèles, la protection des trésors nationaux, le droit des ententes et de la concurrence déloyale, le secret des affaires, la sécurité, la confidentialité, la protection des données personnelles et le respect de la vie privée, 57 V. infra n° 28, 29. 58 B. Van Asbroeck, J. Debussche, J. César, Bird & Bird, Building the European data economy, White paper on data ownership, 2017, p. 114: “Given that one needs to rely on a patchwork of rights, it might be difficult to define the scope of protection [...] Such fragmented legal framework is particularly relevant when confronted with emerging technologies, including big data and cloud computing, as the aggregated, analysed, stored and otherwise used data may be flowing through different Member States, and may thus be subject to diverging protections.” 59 V. Commission européenne, Evaluation of Directive 96/9/EC on the legal protection of databases, SWD(2018) 147 final, pp. 31-34, pp. 40-43. 60 V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Final report, p. 5, pp. 81-94, pp. 97-140.
  • 26. Page 26 sur 73 l'accès aux documents publics ou le droit des contrats. » 61 . Le droit de la concurrence apparait comme une alternative au droit sui generis. Il s’agit cependant d’une protection toute relative car les législations nationales en matière de concurrence déloyale apparaissent très disparates. Ainsi, alors que des États comme la France, la République Tchèque, la Belgique, la Hongrie, l’Italie, la Pologne et la Slovaquie ont prévu dans leur législation une protection contre le parasitisme et la copie servile, d’autres États62 n’offrent une protection au titre de la copie servile que dans le cadre de circonstances exceptionnelles. Ces disparités sont encore plus évidentes à travers les jurisprudences des États membres. Il ressort d’ailleurs de la consultation lancée par la Commission européenne, que plusieurs experts estiment qu’il n’est pas pertinent de cumuler les règles de protection relatives au droit sui generis avec celles relatives à la concurrence déloyale. Le Professeur Matthias Leistner a indiqué que des auteurs reconnus de la doctrine Allemande ont défendu l’idée que le droit sui generis est une protection de l’investissement, et que les lois relatives à la concurrence déloyale ne devraient pas trouver à s’y appliquer. Ils estiment que la directive 96/9 devrait être modifiée en spécifiant que les législations nationales relatives à la concurrence déloyale ne doivent pas s’appliquer en sus du droit sui generis. Par ailleurs, les dispositions relatives aux « secrets des affaires » viennent aussi s’ajouter au droit sui generis. La directive 2016/943 sur le secret des affaires63 a été adoptée le 8 juin 2016. Elle devrait être bientôt faire l’objet d’une transposition dans notre droit national par la proposition de loi n°675. Elle offre certes une nouvelle couche de protection pour les données, mais son articulation avec le droit sui generis pourrait être problématique, notamment quant aux différents niveaux de protection64 . Ceci étant, les deux régimes de protection sont cumulables, étant entendu que les dispositions relatives aux secrets d’affaires s’appliqueront aux bases de données non encore publiées. En outre, la fragmentation réglementaire relative aux données tend aussi à se refléter dans les incohérences qui apparaissent entre la directive 96/9 et d’autres textes tels que la directive relative à la réutilisation des informations du secteur public (« PSI »)65 et la directive droit d’auteur et droits voisins dans la société de l’information. 61 Dir. 96/9/CE, 11 mars 1996, JOCE 27 mars, art. 13. 62 La Finlande, l’Allemagne, le Luxembourg, les Pays-Bas, le Portugal, l’Espagne et la Suède. 63 Directive 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites 64 V. en ce sens, V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Final report, p. 89 et s. 65 Directive 2013/37/UE du Parlement européen et du Conseil du 26 juin 2013 modifiant la directive 2003/98/CE concernant la réutilisation des informations du secteur public.
  • 27. Page 27 sur 73 Section 2 – L’inefficience de la réglementation, vectrice de stratégies de rétention de données (lock- in) 31 - Tandis que la directive 96/9 avait notamment pour but d’harmoniser les dispositions relatives à la protection des bases de données dans l’UE, les incertitudes quant à son application dans le cadre des données générées par des machines et la multiplication des dispositions qui peuvent potentiellement régir l’usage de ces données a rendu la réglementation complexe et non harmonisée. Dans ce contexte, le contrat est apparu comme l’outil privilégié pour les différents acteurs de l’économie de la donnée. Pourtant, cette situation n’est pas satisfaisante car les contrats régissant l’accès, le partage et la réutilisation des données industrielles traduisent d’importantes asymétries entre acteurs en favorisant les situations de lock-in (A). D’ailleurs, laisser les données générées par des machines à la seule régulation par le contrat constituerait une nouvelle source d’insécurité juridique compte-tenu des limites du droit contractuel (B). Enfin, face à toutes ces incertitudes, les acteurs privilégient les mesures techniques de protection. Elles doivent cependant être encadrées car elles constituent des barrières à la libre circulation des données dans l’Union européenne (C). A) - Le contrat : support juridique des stratégies de « lock-in » traduisant des asymétries entre acteurs 32 - En janvier 2017, la Commission européenne66 , se basant sur les rapports consacrés aux problématiques d’accès et propriété des données67 , a identifié l’outil contractuel comme étant un des freins à la libre circulation des données. Tout d’abord, il est important de noter que les contrats relatifs à l’exploitation d’une base de données ne sont pas soumis au même cadre juridique que les contrats qui encadrent l’exploitation des données elles-mêmes, en tant que tel. En effet, les contrats d’exploitation d’une base de données sont soumis au respect des dispositions de la directive 96/968 . Cette précision est d’importance car ici, la liberté contractuelle fait l’objet de limitations importantes afin d’assurer l’équilibre entre intérêts économiques des fabricants de bases de données et droit des utilisateurs. Ainsi, la directive prévoit en son article 15 que « toute disposition contractuelle contraire 66 European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01- 2017, p. 16. 67 V. not. Legal study on ownership and access to data, p. 79; https://bookshop.europa.eu/en/legal-study-on ownership-and-access-to-data-pbKK0416811/. 68 V. sur ce point, E. Derclaye, An economic analysis of the contractual protection of databases, University of Illinois Journal of Law, Technology and Policy. 1(2), 247-271, p. 14.
  • 28. Page 28 sur 73 à l'article 6 paragraphe 1 et à l'article 8 est nulle et non avenue. ». Les articles susvisés garantissent le respect des droits des utilisateurs légitimes de bases de données, notamment le droit d’extraction et de réutilisation de parties non substantielles du contenu de la base. Qu’en est-il alors des contrats relatifs aux bases de données (ou aux données en tant que tel) qui ne sont pas couvertes par le droit sui generis ? La solution est apportée par l’arrêt Ryanair69 de la Cour de justice. Selon la Cour : « les articles 6, paragraphe 1, 8 et 15 de cette directive, qui instituent des droits revêtant un caractère impératif en faveur des utilisateurs légitimes d'une base de données, ne sont pas applicables à une base de données qui n'est protégée ni par le droit d'auteur ni par le droit sui generis en vertu de ladite directive » (pt. 39). Elle poursuit en estimant que « les articles 6, paragraphe 1, 8 et 15 de ladite directive ne font pas obstacle à ce que le créateur d'une telle base de données établisse des limitations contractuelles à l'utilisation de celle-ci par des tiers » (pt. 45). Il s’agit d’une solution à la fois logique et paradoxale. Logique car les dispositions impératives de la directive 96/9 ne peuvent s’appliquer qu’aux bases de données qui entrent dans son champ d’application. Mais paradoxale car, au final, quelle est la meilleure protection pour un fabricant de bases de données ? Le droit sui generis ou le contrat ? Les fabricants de bases de données dans la Data driven economy n’auraient-ils pas intérêt, afin de jouir d’une totale liberté contractuelle, à ce que leurs bases de données n’entrent pas dans le champ d’application de la directive ? Peut-être que la jurisprudence Ryanair marque en ce sens un constat d’échec de la directive70 ? Il est d’ailleurs intéressant de constater que 58% des experts consultés dans le cadre de l’évaluation de la directive considèrent que les contrats offrent une protection comparable, voir encore plus forte que celle conférée par le droit sui generis71 . 33 - Liberté contractuelle donc, notamment pour les fabricants de bases constituées de données générées par des machines dont la plupart ne sont pas couvertes par le droit sui generis… En pratique, les acteurs en ont tiré les conclusions, utilisant leur liberté contractuelle sans restrictions, parfois72 jusqu’à en abuser. C’est ainsi que les contrats qui encadrent l’accès et le partage de données, notamment des données générées par des machines, contiennent le plus souvent des clauses relativement complexes qui prévoient notamment des restrictions importantes quant à l’accès des données, au partage des données, et dans de nombreux cas, la propriété des données. Ces contrats 69 CJUE, 2e ch., 15 janv. 2015, aff. C-30/15, Ryanair Ltd c/PR Aviation BV : Juris-Data n° 2015-002578 ; RIDA 2/2015, p. 319 et p. 301, obs. P. Sirinelli ; Auteurs et médias 2015, p. 181, obs. M. Lambrecht ; Propr. intell. 2015, n° 55, p. 211, obs. C. Bernault ; Propr. intell. 2016, n° 58, p. 97, obs. M. Vivant ; Comm. com. électr. 2015, comm. 10, obs. C. Caron ; RLDI mars 2015, n° 3685, obs. C. Castets-Renard ; Propr. industr. 2015, comm. 71, note J. Larrieu ; RDC 2015, n° 2, p. 348, note J. Passa. 70 V. Avis de Me Nicolas Courtier dans : Bases de données, une protection obsolète, Expertises des systèmes d’information, juin 2017, p. 221. 71 20% des experts pensent que les contrats offrent une protection comparable au droit sui generis, tandis que 38% estiment que les contrats offrent une protection encore plus forte : V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Final report, p. 86. 72 Souvent, si l’on en croit la Commission…
  • 29. Page 29 sur 73 sont au fil des années devenus tellement courants que les différents acteurs de cette économie tendent à penser qu’ils sont titulaires d’un véritable droit de propriété sur les données générées. Les clauses contractuelles contenues dans des contrats présentés en annexe de rapports73 consacrés à l’encadrement de l’accès et la réutilisation des données sont à ce titre très instructives : • « XXX would be the sole and exclusive owner of all the data generated by the devices, among others and without limitation, mathematical algorithms, know-how, procedures, operations, methods - that do not correspond with personal data of identified or identifiable persons as well as all the rights of intellectual and industrial property that could derive from its exploitation. » • INTELLECTUAL PROPERTY RIGHTS OWNERSHIP « The Licensee acknowledges that: all Intellectual Property Rights in the Data and the Manipulated Data are the property of the Supplier or its licensors, as the case may be ; it shall have no rights in or to the Data or the Manipulated Data other than the right to use them in accordance with the express terms of this Agreement; » Nous comprenons donc aisément que la majorité74 des réponses au questionnaire de la Commission européenne dans le cadre de la consultation relative à la révision de la directive, fait état des inquiétudes de nombreux acteurs quant à ce type de clauses contractuelles qui constituent de très importantes restrictions à l’accès des données75 . Au-delà de toutes ces considérations, le contrat peut montrer certaines limites de le cadre de la Data driven economy. B) - Les limites du droit contractuel 34 - La première difficulté réside dans le manque d’harmonisation du droit des contrats dans l’Union européenne. Le « droit européen des contrats » n’est qu’un projet. Il existe des « Principes du droit européen des contrats76 », qui ont été dégagés par la Commission présidée par Ole Lando, un professeur danois qui a réuni un groupe de travail composé d'universitaires issus de plusieurs 73 V. not. Legal study on ownership and access to data, p. 147 et s.; https://bookshop.europa.eu/en/legal-study- on ownership-and-access-to-data-pbKK0416811/ 74 Au moins 70% des réponses. 75 Préc.. 76 V. Rémy-Corlay P. et Fenouillet D. (sous la dir.), Les concepts contractuels français à l'heure des Principes du droiteuropéen des contrats, Dalloz, 2003 ; Prieto C. (sous la dir.), Regards croisés sur les concepts du droit européen des contrats, PUAM, 2004.
  • 30. Page 30 sur 73 pays européens, mais il s'agit d'une initiative privée, indépendante et sans valeur obligatoire. Il en résulte que le système actuel du droit des contrats consiste en un « patchwork » de 28 systèmes nationaux77 . Ces systèmes nationaux sont marqués par d’importantes différences relatives à des aspects essentiels du droit des contrats tels que les modalités de conclusion, les régimes de responsabilité, etc. Aussi, la juxtaposition des systèmes de Common law et de droit civil au sein de l’Union européenne témoigne du manque d’harmonisation. De plus, même au sein d’un même système, il existe des disparités entre les législations États membres. Ainsi, les flux de données étant, par nature, transfrontières, de telles disparités entre les lois applicables aux contrats régissant leur exploitation peuvent être problématiques. 35 - Une autre limite importante de l’efficience des contrats est constituée par l’effet relatif des contrats. Ainsi, si les contrats relatifs à l’exploitation des bases de données couvertes par le droit sui generis sont opposables erga omnes – ce qui est une des caractéristiques des droits de propriété intellectuelle – il en est autrement des contrats relatifs aux données situées hors du champ d’application de la directive 96/9. Seules les parties sont liées par les obligations naissant de ces contrats. Il s’agit d’une différence importante dont les conséquences peuvent être encore plus marquées dans l’économie de la donnée. Ainsi, un acteur peut-il interdire aux tiers d’accéder aux données sur la seule base du contrat ? Cette question, cruciale dans l’économie de la donnée, mérite de faire l’objet d’une analyse approfondie. À ce stade de notre réflexion, nous estimons que de telles clauses contractuelles ne peuvent avoir pour effet de priver les tiers de leurs droits d’accès aux données78 . Par ailleurs, quid de la validité d’une clause contractuelle prévoyant expressément la « propriété des données » ? Il est en effet légitime de penser que de telles clauses, qui reposent sur une croyance erronée relative à la propriété des données, peuvent être remises en cause en cas de litige79 . De plus, la validité de clauses par lesquelles une des parties clame détenir des droits de propriété intellectuelle sur les données objets du contrat peut, elle aussi être remise en cause. À titre d’exemple, dans la clause reproduite ci-dessous, est indiqué : « Intellectual property rights ownership : all Intellectual Property Rights in the Data and the Manipulated Data are the property of the Supplier ». Il convient alors de s’interroger : de quels droits de propriété intellectuelle sur les données s’agit-il ? Il n’existe à l’heure actuelle aucun droit de propriété intellectuelle sur les données en tant que tel. La Commission européenne a, certes, lancé l’idée de la création d’un droit des 77 B. Van Asbroeck, J. Debussche, J. César, Bird & Bird, Building the European data economy, White paper on data ownership, 2017, p. 115. 78 S’il s’agit de données sensibles pour l’entreprise, qui ne sont pas couvertes par le droit sui generis, elles devraient cependant faire l’objet d’une protection au titre des dispositions relatives aux secrets des affaires. 79 V. en ce sens : J.-J. Le Pen, Le Big data pour la MRO à l’épreuve du débat sur la propriété des données non personnelles, https://www.journal-aviation.com
  • 31. Page 31 sur 73 producteurs de données80 (avec pour effet de consacrer un nouveau droit exclusif sur la donnée), mais il ne s’agit que d’une proposition81 . Face à ces incertitudes, les mesures techniques de protection apparaissent comme un outil privilégié pour encadrer les conditions d’accès aux données. C) - Les mesures techniques de protection : restriction technique de l’accès aux données 36 - Les mesures techniques de protection82 font l’objet d’une utilisation courante depuis de nombreuses années afin de protéger le contenu des bases de données. Consacrées par les Traités OMPI83 dès 1996, ces mesures techniques ne figurent pas dans la directive 96/9. En revanche, l’implémentation a été effectuée par la directive 2001/29/CE sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information du 22 mai 2001 qui prévoit en son article 6 : « Aux fins de la présente directive, on entend par "mesures techniques", toute technologie, dispositif ou composant qui, dans le cadre normal de son fonctionnement, est destiné à empêcher ou à limiter, en ce qui concerne les œuvres ou autres objets protégés, les actes non autorisés par le titulaire d'un droit d'auteur ou d'un droit voisin du droit d'auteur prévu par la loi, ou du droit sui generis prévu au chapitre III de la directive 96/9/CE », « Lorsque le présent article est appliqué dans le cadre des directives 92/100/CEE et 96/9/CE, le présent paragraphe s'applique mutatis mutandis. ». La directive 96/9 est donc expressément visée. La transposition de cette directive dans notre droit national a été effectuée par la loi n° 2006-961, relative au droit d'auteur et aux droits voisins dans la société de l'information, votée le 1er août 2006. Les dispositions spécifiques aux bases de données sont présentes aux articles L. 342-3-1 et L. 342-3-2 du Code de la propriété intellectuelle. Les mesures techniques peuvent en pratique restreindre les droits des utilisateurs, en particulier ceux qui bénéficient de certaines exceptions aux droits de propriété intellectuelle. Concernant les bases de données, nous pouvons penser que l’articulation entre le 80 European Commission, Staff working document, Building a European data economy, COM(2017) 9 final, 01- 2017, p. 13. 81 Proposition qui a fait l’objet de vives contestations de la part de nombreux acteurs et experts dans l’Union européenne ; V. en ce sens : https://cnnumerique.fr/files/uploads/2017/04/AvisCNNum_FFoD_VFinale.pdf, avis du CNNUM ; C. Zolynski, Un nouveau droit de propriété intellectuelle pour valoriser les données : le miroir aux alouettes ?, Dalloz IP/IT 2018 p.94. 82 TPM (en anglais) 83 Ces traités imposent une “protection juridique appropriée et des sanctions juridiques efficaces contre la neutralisation des mesures techniques efficaces qui sont mises en œuvre par les auteurs dans le cadre de l'exercice de leurs droits en vertu du présent traité et qui restreignent l'accomplissement, à l'égard de leurs œuvres, d'actes qui ne sont pas autorisés par les auteurs concernés ou permis par la loi” (Traité sur le droit d'auteur, art. 11 ; rédaction identique Traité sur les interprétations et exécutions et les phonogrammes, art. 18).
  • 32. Page 32 sur 73 régime de la directive 2001/29/CE et celui de la directive 96/9 peut être problématique. En effet, l’article 6 de la directive 96/9 prévoit que « l'utilisateur légitime d'une base de données ou de copies de celle-ci peut effectuer tous les actes visés à l'article 5 qui sont nécessaires à l'accès au contenu de la base de données et à son utilisation normale par lui-même sans l'autorisation de l'auteur de la base. ». Qu’en est-il de l’effectivité de ces droits face aux mesures techniques de protection ? 37 - L’étude des questionnaires relatifs à la consultation au sein de l’Union dans le cadre de la révision de la directive révèle que les mesures techniques de protection sont très utilisées pour protéger le contenu des bases de données84 . 73% des fabricants de bases de données indiquent avoir recours aux mesures techniques (de manière forte à plus ou moins modérée) pour protéger le contenu de leurs bases de données, tandis que seulement 52% évoquent la protection par le droit sui generis. Ces chiffres sont très évocateurs quant à l’utilisation des mesures de protection. En réaction à cette utilisation massive des mesures de protection, de nombreux acteurs ont exprimé leurs inquiétudes quant à l’effet disproportionné de ces mesures qui, au final, restreignent l’accès et la réutilisation des données contenues dans les bases de données, sans aucune limitation. C’est ainsi que le Professeur Matthias Leistner a estimé que les mesures techniques de protection ne devraient pas être utilisés de manière à restreindre les droits des utilisateurs consacrés à travers les exceptions et les droits de l’utilisateur légitime85 . 38 - Dans la Data driven economy, compte-tenu de l’importance de la libre circulation des données dans l’Union européenne, les mesures techniques de protection et leur effets restrictifs quant à cette liberté de circulation doivent aussi être analysés en profondeur. Une des questions cruciales soulevées par l’usage des mesures de protection dans l’économie de la donnée, concerne leur légitimité juridique dans le cadre des bases de données non couvertes par le droit sui generis. En effet, si la jurisprudence Ryanair a contribué à légitimer l’usage des contrats pour protéger le contenu des bases de données, et que par essence, la liberté contractuelle s’applique pleinement à ces contrats – puisqu’ils sont situés hors champs du droit sui generis86 – la solution peut-elle est valablement identique concernant les mesures techniques de protection ? Nous répondons par la négative en rappelant que les mesures techniques de protection ont été consacrées afin de garantir l’effectivité des prérogatives de la propriété intellectuelle. En l’absence de droit de propriété intellectuelle, dans les situations non couvertes par le droit sui generis, les mesures techniques de protection perdent toute légitimité juridique. Ce point très important a d’ailleurs été développé par les experts mandatés par le Commission européenne dans le cadre de la révision de la directive 96/9. Les conséquences pratiques de ces conclusions sont considérables et devraient contribuer à remettre en cause l’usage de 84 V. European commission, Study in support of the evaluation of Directive 96/9/EC on the legal protection of databases, Final report, p. 84. 85 Préc. note (84). 86 V. en ce sens infra n° 33.
  • 33. Page 33 sur 73 mesures techniques de protection injustifiées dans le cadre de l’économie de la donnée. Un changement de paradigme dans la gouvernance des données s’impose. Après avoir consacré notre analyse aux raisons, tant techniques, juridiques et économiques qui nécessitent une révision de la directive 96/9 dans le cadre de l’économie de la donnée, il convient à présent d’étudier les orientations qui doivent guider cet effort réformateur. La directive 96/9 doit en effet s’inscrire pleinement dans l’objectif général de libre circulation des données dans l’Union européenne PARTIE II – UNE RÉVISION DE LA DIRECTIVE S’INSCRIVANT DANS LA PROMOTION D’UNE LIBERTÉ DE CIRCULATION DES DONNÉES 39 - Dans une résolution en date du 19 janvier 2016 intitulée « Vers un acte sur le marché unique numérique », le Parlement européen estime que la directive 96/9 « constitue un obstacle au développement d'une économie européenne fondée sur les données » et « invite la Commission à assurer un suivi des possibilités politiques d'annuler la directive ». Cette solution qui se base sur la première évaluation de la directive effectuée en 2005, est probablement trop radicale, mais elle a le mérite d’interroger sur le rôle que joue la directive dans l’économie européenne des données. La Commission européenne, dans sa communication de janvier 2017 intitulée « Building a european data economy », n’identifie pas la directive 96/9 comme étant constitutive d’une des barrières à